筆者直接打開該優(yōu)盤，在其中很快找到了名為“polycing.exe”的處于隱藏狀態(tài)的可疑程序，在其右鍵菜單上點擊“掃描病毒”項，執(zhí)行手工檢測操作，可是該殺毒軟件卻顯示沒有發(fā)現(xiàn)病毒文件?？磥?，該殺毒軟件的功力不夠，于是將其卸載換裝了另外一款口碑不錯的殺毒軟件，對該優(yōu)盤進行查殺，仍然沒有發(fā)現(xiàn)病毒信息。由此得出結(jié)論，該病毒不是經(jīng)過加殼處理，就是經(jīng)過特殊的免殺處理，讓殺毒軟件無法準確判斷其身份?？咳瞬蝗缈考?，筆者決定手工將其清除。

筆者在虛擬機中運行了該程序，觀察其行為特點，發(fā)現(xiàn)中毒后系統(tǒng)每隔一段時間硬盤就會出現(xiàn)一個使用高峰，硬盤燈頻繁閃爍，CPU占用率居高不下，似乎有程序長時間讀取硬盤數(shù)據(jù)，而且殺毒軟件無法正常運作，實時監(jiān)控模塊無法正常打開。運行XueTr這款安全工具，在進程列表中除了發(fā)現(xiàn)很明顯的病毒進程外，還發(fā)現(xiàn)一個名為“polycing.exe”隱藏進程，看來病毒將自身隱藏起來了。

當開機后，系統(tǒng)會顯示無法查看某文件的錯誤信息，當連入優(yōu)盤、移動硬盤等設(shè)備后，雙擊移動存儲設(shè)備盤符后，系統(tǒng)運行速度明顯變慢。在其根目錄下會出現(xiàn)幾個來歷不明的文件，即使手工將其刪除，但是不久之后這些可疑文件又會自動出現(xiàn)，而且無法按照正常方式移除USB設(shè)備，只有手工將其強制拔出。要想清除病毒文件，需要了解其對系統(tǒng)做了哪些手腳。

使用SREng、瑞星聽診器等工具，可以對系統(tǒng)進行智能掃描并創(chuàng)建安全報告，對其進行分析，就可以讓病毒露出馬腳。這里以瑞星聽診器為例進行說明，在其主界面中點擊“開始掃描”按鈕，該工具可以對系統(tǒng)方方面面進行安全檢測。當掃描完畢后，會在統(tǒng)一目錄下生成名為“瑞星聽診信息.htm”的報告文件。將其打開后，在“未知家族病毒分析”欄中顯示檢測到的未知病毒信息，在“系統(tǒng)活動進程”欄中顯示當前的所有進程信息，而且針對每一個進程列出其加載的DLL模塊信息。在“普通自啟動項”欄中顯示包含在注冊表中啟動項信息。

在“AppInit_DLLs”欄中顯示加載的初始化動態(tài)鏈接庫信息，在“系統(tǒng)文件關(guān)聯(lián)”欄中顯示常用文件類型的關(guān)聯(lián)信息，在“其它啟動項”欄中顯示比較隱蔽的啟動項信息，在“WinLogon啟動項”欄中顯示和系統(tǒng)登錄有關(guān)的啟動項。在“IE-BHO”欄中顯示IE的相關(guān)插件信息，在“Winsock SPI”欄中顯示和網(wǎng)絡(luò)底層配置相關(guān)的文件信息，在“系統(tǒng)服務(wù)項”欄中顯示全部系統(tǒng)服務(wù)信息，在“文件驅(qū)動”和“系統(tǒng)驅(qū)動項”欄顯示全部的驅(qū)動文件信息。在默認情況下，正常的檢測項目會以綠色進行顯示，對于可疑的項目，會以亮白方式顯示。結(jié)合以上檢測報告，可以發(fā)現(xiàn)該病毒對系統(tǒng)所做的小動作。在啟動項中發(fā)現(xiàn)了很多的病毒木馬項目，主要用來執(zhí)行感染文件，盜取數(shù)據(jù)等非法操作。

由此可見，該病毒程序并不是單獨行動，而是一個下載工具，當其運行后，會不定時的從網(wǎng)上下載大量的病毒木馬程序來對系統(tǒng)進行滲透和破壞。而且在不同的虛擬機中進行的測試表明，該病毒文件會隨機下載不同的病毒木馬文件，即每次發(fā)作時下載的不法程序不盡相同。運行XueTR這款安全利器，在其主界面中打開“服務(wù)”面板，在其中發(fā)現(xiàn)一個名為“netersvc”的服務(wù)非?？梢桑滹@示名稱為“Network Error Repair”，從表面上看似乎用來修復(fù)網(wǎng)絡(luò)錯誤，其實這是病毒的一個幌子，其真實用途是在系統(tǒng)啟動時自動激活病毒程序。另外一個名為“601D51FA”的服務(wù)看上去就極為可疑，可以斷定是配合上述病毒服務(wù)活動的。根據(jù)啟動項中提供的信息，在各磁盤的根目錄下發(fā)現(xiàn)了病毒創(chuàng)建的“Autorun.inf”文件，“polycing.exe”等文件，在“C:Windows”文件夾下發(fā)現(xiàn)了名為“avpsrv.e x e”、“c m d b c s.e x e”、“mppds.exe”、“msccrt.exe”、“upxdnd.exe”、“kvsc3.exe”、“winform.exe”、“cnzz.exe”等病毒文件，而且在“C:WindowsSystem32”目錄中會發(fā)現(xiàn)了與這些文件名稱相同的DLL文件。在“C:WindowsSystem32”目 錄 下 發(fā) 現(xiàn) 了“mh100”、“mh100.dll”、“nwizasktao.exe”、“nwizasktao.dll”、“nwizhx2.exe”、“nwizhx2.dll”、“nwizqjsj.exe”、“nwizqjsj.dll”等病毒文件，在“C:Windowssyswm7”目錄中發(fā)現(xiàn)名為“ghook.dll”、“svchost.exe”等 病 毒文件，點擊“Win+R”鍵，輸入“%temp%”，回車打開臨時文件夾窗口，在其中發(fā)現(xiàn)名為“c0nime.exe”、“gjzo0.dll”、“upxdnd.exe”、“upxdnd.dll”等病毒文件。這些病毒文件幾乎都處于隱藏狀態(tài)，其中一部分是病毒自身產(chǎn)生的文件，一部分是病毒下載的惡意程序。所以需要先在文件夾選項窗口中選擇“顯示所有文件和文件夾”項，不選擇“隱藏受系統(tǒng)保護的文件”項，才可以將其顯示出來。

經(jīng)過分析，發(fā)現(xiàn)病毒會將下載的惡意程序先放到IE臨時文件夾中，然后才會執(zhí)行或者釋放病毒木馬文件，其創(chuàng)建病毒文件的方式有些特殊，先在“C:Windows”目 錄 下生成病毒程序，然后在“C:WindowsSystem32”目錄中創(chuàng)建與之同名的DLL文件。當病毒EXE程序激活后，會將與之同名的DLL文件插入到“explorer.exe”進程中，之后自動終止該病毒EXE程 序，潛 伏 在“explorer.exe”中的病毒DLL模塊就可以執(zhí)行盜取數(shù)據(jù)，破壞正常文件等操作。

為了防止用戶清理病毒，病毒不僅會在各磁盤根目錄下 創(chuàng) 建“Autorun.inf”文件和病毒程序，讓用戶在雙擊磁盤時自動激活病毒外，還會在“C:Windows”和“C:WindowsSystem32”目錄中創(chuàng)建“5abeb2609.exe”、“5abeb2609.dll”、“k0115114194.exe” 等 文件，用來創(chuàng)建上述病毒服務(wù)，當開機后病毒服務(wù)就會搶險加載運行，將病毒DLL模塊插入到系統(tǒng)進程中，對病毒的活動進行全程保護。

注意：在不同的電腦上運行時，病毒創(chuàng)建的上述文件的名稱可能會隨機產(chǎn)生來逃避用戶的檢查。

了解了病毒的行為特點后，接下來就可以手工將其清除。為了便于觀察病毒活動，運行了FileMon這款小巧強悍的監(jiān)控程序，可以全面實時記錄不同進程針對文件進行的添加、修改、刪除等動作，用來監(jiān)視病毒活動很有效。

在XueTr主界面中的“本工具配置”面板中勾選“禁止創(chuàng)建進程”和“禁止創(chuàng)建線程”項，禁止病毒啟動非法進程。之后在“進程”面板中強制關(guān)閉所有非系統(tǒng)進程，包括“explorer.exe”進程，只留下系統(tǒng)基本進程，讓系統(tǒng)可以正常運作。利用XueTr內(nèi)置的注冊表管理器，將注冊表中和病毒相關(guān)的啟動項逐一刪除，經(jīng)檢測后發(fā)現(xiàn)病毒沒有自動恢復(fù)刪除的啟動項，但是在XueTr中的服務(wù)列表中禁止病毒服務(wù)后，發(fā)現(xiàn)病毒服務(wù)又自動啟動了?？磥恚欢ㄓ胁《境绦蛟诎凑諏ζ溥M行保護。

當使用XueTr自帶的文件管理器刪除上述病毒文件時，根據(jù)Filemon提供的監(jiān)控信息，發(fā)現(xiàn)當刪除各磁盤根目錄下中的“Autorun.inf”和其它病毒文件后，這樣文件又奇怪的自動恢復(fù)了，經(jīng)過查看原來是“winlogon.exe”在暗中起作用，該進程不僅可以恢復(fù)病毒文件，而且可以自動執(zhí)行病毒文件。在進程列表的右鍵菜單中點擊“在下方顯示模塊窗口”項，在“Winlogon.exe”進程中果然發(fā)現(xiàn)病毒創(chuàng)建的DLL模塊，其名稱為隨機產(chǎn)生的，這樣即使在XueTr中將病毒文件刪除，看起來似乎一切順利，其實病毒暗中的保護機制會悄無聲息地重新激活病毒文件，并從網(wǎng)上下載更多的惡意程序。

根據(jù)以上分析，我們大體掌握了該病毒的運行原理，當該病毒運行后，會先建立一個隱藏的病毒進程，之后創(chuàng)建病毒服務(wù)，并將病毒DLL模塊插入到合法的系統(tǒng)進程中，對病毒的活動進行保護。當發(fā)現(xiàn)本機連上Internet后，病毒進程會每隔一段時間下載一個病毒木馬程序，之后將其激活并運行。因為下載完所有的惡意程序需要一段時間，所以如果不仔細觀察的話很容易被其蒙蔽，因為病毒下載的幾乎都是DLL文件，當其運行后會在“C:Windows”和“C:WindowsSystem32”目錄中創(chuàng)建同名的EXE文件和DLL文件，之后將原始的病毒DLL文件自刪除。當所有的病毒木馬全部系在完成并運行后，系統(tǒng)運行速度就會大受影響。病毒在徹底侵入系統(tǒng)后，會隨機創(chuàng)建一個DLL文件，將其插入到“winlogon.exe”進程中，作用是潛伏在暗處對病毒的活動進行保護。因此，雖然在系統(tǒng)文件夾中出現(xiàn)了一大堆病毒文件，無法進行徹底的隱藏，難免會被用戶發(fā)現(xiàn)。不過由于病毒存在保護機制，即使將病毒文件刪除，其保護機制照樣可以重新激活病毒，所以手工清除比較困難。

通過對病毒保護機制的分析可以看出，病毒是通過非法服務(wù)向“winlogon.exe”進程中注入病毒DLL模塊，通過該模塊，對各磁盤根目錄下的病毒文件進行保護。保護的手法是每隔一定時間就會檢測病毒文件是否存在，如果不存在的話就會自動重建病毒文件，并為其設(shè)置系統(tǒng)和隱藏屬性，并將病毒服務(wù)設(shè)置為自動運行狀態(tài)，讓病毒服務(wù)可以順利運作。

當然，病毒采取了創(chuàng)建隱形進程，讓用戶無法在任務(wù)管理器中發(fā)現(xiàn)其蹤跡。以上種種保護手段，目的就是讓用戶無法順利的將病毒清除出去。

洞悉了病毒的特點，清除起來就相對容易了，最簡單的方法是進入安全模式，在其中使用XueTr等工具，關(guān)閉病毒服務(wù)，并在注冊表中刪除與該服務(wù)相關(guān)的信息，將病毒文件全部刪除，或者進入WinPE模式，將全部的病毒文件全部清除，也可以在正常模式下清理這些可惡的病毒，方法是在桌面上建立名為“autorun.inf”的文件夾，之后將各磁盤根目錄下的“autorun.inf”文件刪除，并將該文件夾粘貼到各磁盤根目錄下，并為“Autorun.inf”文件夾設(shè)置隱藏只讀屬性。

同理，創(chuàng)建名為“polycing.exe”的文件夾，將其各磁盤根目錄下的“polycing.exe”病毒文件刪除，并將“polycing.exe”的文件夾粘貼到各磁盤根目錄下，并為之設(shè)置隱藏只讀屬性。按照同樣的方法，將各磁盤根目錄下的所有的病毒文件均進行刪除，并創(chuàng)建與之同名的文件夾。這樣，隱藏在“winlogon.exe”進程中的病毒模塊就無法恢復(fù)病毒文件了。

在XueTr中選擇“禁止創(chuàng)建進程”和“禁止創(chuàng)建線程”項。這樣當關(guān)閉病毒進程后，即不怕病毒進程自動激活了。在XueTr的進程列表中關(guān)閉所有非系統(tǒng)進程，包括病毒創(chuàng)建的隱身進程，之后在XueTr中刪除所有的病毒文件，卸載和刪除插入到系統(tǒng)進程中的 DLL模塊文件，清除和病毒有關(guān)的注冊表項目，禁用病毒服務(wù)。建議按下機箱的關(guān)機按鈕，再重啟電腦，利用冷啟動操作來徹底讓病毒失去活力。也可以在XueTr的設(shè)置窗口中選擇“強制重啟”項，來安全的重啟系統(tǒng)。

對于上述病毒服務(wù)，可以在XueTr的“服務(wù)”面板中點擊“刪除”按鈕將其清除。也可以可以請出System Repair Engineer這款安全工具來清除，在其主界面左側(cè)點擊“啟動項目”項，在右側(cè)的“服務(wù)”面板中點擊“Win 32服務(wù)應(yīng)用程序”按鈕，在服務(wù)列表中選擇病毒服務(wù)，選擇“刪除服務(wù)”項的，點擊“設(shè)置”按鈕，就可以讓病毒服務(wù)徹底消失。當清除了病毒文件后，重新進入系統(tǒng)，取消可移動設(shè)備的自動播放功能，之后將染毒優(yōu)盤上的病毒文件全部清除。因為病毒已經(jīng)將安裝的某殺毒軟件破壞，導(dǎo)致其無法正常運行，所以將該殺毒軟件卸載后重新安裝，即可恢復(fù)其活力。