今天有个朋友中了招，要我帮他解决下。详细了解完，已经觉得这样的病毒对于普通用户来说，差不多算无治，重装系统成为唯一的选择。 

　　现象： 

　　朋友装的不是毒霸，QQ远程过去一看，他装的杀毒软件只剩下一个空壳，右下角系统托盘的图标还在，安装目录下的文件所剩无几，已经完全不能抵挡病毒的攻击。 

　　尝试下载毒霸安装包，双击一闪安装程序就被关闭了。下载清理专家安装包，双击后，发现安装程序已经被删除，运行冰刃、Sreng的后果一样。还好，还能运行autoruns，隐藏微软签名的加载项后，发现10－20个DLL加载在Appinit，映像劫持的项发现几乎所有安全软件被劫持到ntsd，这个修改差不多是针对金山清理专家来的，金山清理专家会把映像劫持项完整列出，对非系统文件会报告为可疑或已提交或病毒名。而病毒用正常的程序文件来完成劫持就会被报告为安全，这样就能躲过普通用户的眼睛。要说这一点，应该算是金山清理专家的一个技术缺陷，已经建议研发部针对此项恶意行为升级。 

　　使用autoruns删除这些项是徒劳的，删完一刷新，就发现被病毒改回来了。把那几个安全工具改名后运行，也全部失败。估计用Process Explorer可以解决问题，这个工具并不常用，是个不错的进程管理器，显示的项目也很全。 

　　问过朋友，说中了这个病毒，进安全模式会蓝屏，自己的QQ已经多次提示在别的地方登录，显然已经被盗。遂建议朋友试下用winpe光盘引导后，再使用Sreng或autoruns，用手工方法把病毒干掉。朋友说没WINPE这东西，已经失去修复系统的耐心。 

　　最后，这台机器还是备份文档后，重装完事儿。