Hello，大家好：

本期介绍的第一位同学，当当当当……
  姓名：张光希，性别：男，未婚，25岁，中国科学技术大学计算机科学与技术本科毕业。是哪个哪个，对，参加天津游时头部受伤的那位，头上戴着卡哇伊白色小网兜儿的那位，对啦，就是他。想让张光希跟部门同学说一句话，张光希说“我也不知道说点什么啊，还是沉默低调比较好啊”，我说“不希望大家认识你么？呵呵”，张光希说“做出成绩才敢让大家认识啊，没成绩认识了多不好意思哦”。腼腆、单纯、认真，是我对张光希入职这段时间的印象，感兴趣的同学继续挖掘噢！

      差不多一年这里都没有更新内容了，这一年来变化很大。大家平时为了用户的事情搞得自己都很忙，我的肚子也不出意外地被毒霸用户搞大了。这一年来陆陆续续来了不少新面孔。我们的部门依然很年轻、依然很有朝气、依然进行着产品知识的学习... 希望不论是现在还是未来，毒霸客服的优良传统可以被不断传承下去。我这个老无耻说话大家普遍都有免疫了，写博客的事情还是交给我们部门陆续加入的新同学吧！hohoho~~~~

近期毒霸4.3版AV专杀工具出现了经常被恶意关闭的现象，通常通过批量结束监守进程的方法可以使AV专杀顺利运行并且保护毒霸升级去完全剿灭病毒。『8749不在此列，新版AV专杀会处理此流氓病毒』
由于批量结束进程的工具很多，在此不做推荐与演示。中了AV病毒之后的网友浏览部分网页可能有问题，可能比较难以下载相关工具，所以本文旨在提供一种完全手工的方法处理。

首先我们要知道监守进程的文件大致存在于哪个磁盘位置，以便我们有针对性的处理。目前看AV病毒释放的监守进程文件一般存在于
C:\Program Files\Common Files\Microsoft Shared\
C:\Program Files\Common Files\System\ 这两个文件夹下。

这样的话我们打开注册表编辑器，方法是单击桌面左下角的【开始】-【运行】-输入regedit-【确定】即可。一些朋友在中AV的同时可能还中了那个广告木马netdde32.exe，这样的话通过ctrl+alt+delete或者ctrl+shift+esc调用任务管理器打开注册表编辑器。删除注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]项即可。(netdde32.exe在windows和system32目录下存在为隐藏属性,可以通过cmd命令等方法删除。注意：winrar不支持浏览文件夹同样会被恶意关闭）如图所示：

本文旨在提供一种相对安全的病毒处理方法，仅供大家参考。
最近由于av终结者以及其他病毒和木马的蜂拥来袭，搞得网络乌烟瘴气。通过分析病毒日志以及实际处理病毒问题的经验上看，下面这种方法是比较简单与安全的。

【关键词】检测日志 映像劫持 注册表 批处理

检测日志
    首先，电脑有了病毒症状我们需要有一些检测手段。通过一些工具生成的检测报告我们分析病毒文件的名称类型以及路径，常用的是sreng和autoruns的检测报告。（分析autoruns日志的话，初学者最好在选项中勾选隐藏微软项目）截图如下：



Sreng在智能扫描结束后会自动提示保存报告，autoruns在左上角有【保存】按钮同样可以将检测报告保存成文本。
通过分析检测报告中的病毒行为我们可以作出各种具有针对性的处理。Autoruns的日志比sreng复杂些一般用户先从sreng看起比较好。我也是因为近段时间的AV终结者病毒才每天大量去看autoruns日志的。
SREng的常见操作

最近分析病毒日志发现在注册表以及系统重点目录下出现无头“.exe”文件。对于该现象，本文想简单解释一下：

首先该文件其实是有名字的，只不过被隐藏掉了。它是一个自解压文件，里面包含了要执行并且释放的可执行程序以及文字提示。据我分析，该文件的产生是一些目前国内入门或者刚刚入门的病毒制作者利用系统自带的压缩制作程序制作出的自解压文件。该程序名称为iexpress.exe，用的是windows简单易懂的向导模式，很容易生成这样的文件而不需要其他软件。以往的病毒大多数用的是winzip或者winrar制作的自解压文件，这就给我们传递出一个信息。不管他用的是哪种方式那种格式哪种名字制作的压缩文件，只要是压缩病毒文件格式，删除即可。打个比方，病毒明天用7zip制作压缩或者自解压文件你也一定要识破！
对于该病毒文件的处理，删除自解压文件未必解决。之前看到有注册表的加载和压缩包内的可执行程序的释放，需要综合分析日志解决。希望以后sp同事们在接病毒处理时不要一惊一乍，以为发现病毒新大陆。其实原理的东西大都是老样式，不要群发邮件问如何处理了。关于该自解压文件的制作方法，实在用不惯系统程序向导的话，有兴趣的私下找我演示即可。陈述完毕......

最近几天遇到的一些映像劫持病毒，同事反映处理起来非常困难。我也接到不少，处理步骤的确比较多但是一般都可以清理。只是出现了一些变化，本文旨在提供一种清理任何病毒的思路，虽然会有争议,但是却行之有效的方法。（关于争议我在文章最后会做解释。）

首先说工作中的两个病毒案例：
案例一:
在注册表里劫持到系统目录c:\windows\system32\rslrgah.exe (以前的劫持文件通常是8位随机.dat)

此样用户本在各个盘符下面生成autorun
[AutoRun]
open=dagssgg.exe
shell\open=打开(&O)
shell\open\Command=dagssgg.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=dagssgg.exe

根据分析，此用户中了NSPack壳木马程序Trojan-PSW.Win32.Delf.qx
和FSG壳木马程序 Trojan-Downloader.Win32.Agent.bpp

用E:\ del /f /s /q /a:- d(查知病毒文件位置)
删除文件 - E:\dagssgg\dagssgg.exe

修改主机列表文件
HOSTS 文件
127.0.0.1       localhost
60.169.2.229    www.wgcome.com