引用:

开始网页运行有点慢，》》》恭喜你，当你看到这里的时候，你的电脑上已经有这个病毒了！《〈

请你继续向下看，不看你的电脑就只能低格（DM）了！。。。。。。。。。。


开始网页运行有点慢，没在意，突然蓝屏，重启后发现中招了，裸奔n久终于碰到一个，好好玩玩
weiai.exe，似乎是加强版，和网上的资料不同（杀完才知道）
感染途径不明，应该是网页内嵌的代码，除非它嵌在nlite或vlite里了（就下过这2个程序）

映像劫持，关键词过滤，所有分区autorun
禁止搜索引擎查找相关词汇，常见的杀毒/清理软件一开即关


按正常思路，把常用软件改名成1.exe，启动成功，但瞬间被关掉
检查一遍，发现SnipeSword漏网，结束非关键进程，卸载dll。只有少数几个dll能被卸载，软件无力啊
尝试启动icesword，失败无数次....蓝屏n次
确定了病毒文件范围：除了分区根目录下的autorun以及weiai.exe，病毒文件只存放于system32，启动后加载十几个dll于系统关键进程
研究发现，病毒没有在多个文件夹里备份，没有进程交叉保护，也没有禁止任务管理器、注册表编辑器等工具，启动方式没用root。——就一抄袭的菜鸟嘛.....

用最最古老的方法，进安全模式
应用程序改名，绕过映像劫持，启动icesword、autoruns、roguecleaner
icesword禁止线程创建，打开system32文件目录，按创建时间排列，批量删除
roguecleaner清理注册表里的映像劫持（自动的）
autoruns清理启动项

没了，就这么简单....

PS：真正强大的病毒不用那么多琐碎的东西，root启动，感染exe，winlogon里多挂几个dll，多进程互相保护。根本不怕你卸dll，卸了就蓝

再PS： 感染exe后，都自动打开EXE程序，一般人的机器会在1秒时间左右，打开200+左右个程序，系统资源立马被占尽，内存CPU 100%，让你什么也做不了！

你现在会怎么做？？ 哈哈。。。。。。。。。呵呵。。。。。。

又是映像劫持类病毒