铲除经典流氓软件MY123.COM实录

    流氓软件，恶意篡改主页等，近来发展飞跃，技术含量翻了几翻，特别是流氓之中最为恶劣最为变态的MY123.COM，恶意篡改主页为MY123.COM，难以杀除，网上虽有一些分析帖子，但都是需要一定的基础，我们小菜只能去学习重装系统了吗？不！我是恶棍我怕谁！

    跟着小G我一步一步来吧！

    首先需要提及几点关于这个流氓的行为：它会生成随机名字[八位包含数字和字母组合]的SYS和DLL文件分别放置与SYSTEM32和DRIVERS文件夹。DLL文件插入SYSTEM和EXPLORER进程空间[见图1]，进行保护，如果检测没有驱动，则会自动释放出驱动，然后加载。同时这个DLL具有网络下载升级功能。SYS文件则实现暴力修改主页，暴力写入服务，使用自身文件独占.及句柄检测保护模块等功能来进行流氓行为，赖着不走。

图1

    由于这个流氓只有2个文件：DLL和SYS文件。看起来.简单，但它使用随机文件名，我们怎么确定那个是MY123呢？

图2

    我们找来AUTORUNS这个软件。它也是手工杀毒必不可少的利器。运行这个软件，等扫描完毕后，我们打开菜单栏里的选项，点击检验数字签名和隐藏有微软签名的项目，把勾打上以后，我们点驱动那一栏，然后按F5刷新，就可以看到没有通过微软认证的驱动了。见[图2]，看清楚了。里面括号里写着未核实，后面却写着微软的签名，我这里因为.是我自己添加的驱动，我命名为MY123方便识别，大家的应该是随机名.字[八位包含数字和字母组合]。找到这个驱动以后，把路径里的SYS程序名字记起来，这个就是MY123的SYS驱动文件了，我们从这里入手。

图3

    接着，运行以前介绍过的Process Explorer。找到SYSTEM这个进程。双击它。出现属性窗口。点击线程选项。在里面寻找刚才找到的SYS文件名。见[图3]然后把那3个病毒SYS的线程都选中，一一点击挂起。这时候，实现暴力重写注册表和服务还有保护自身的线程被挂起了，我们打开又一个手杀利器—Unlocker，然后找到.那个SYS文件，对准它点右键，选择Unlocker，然后选择全部解锁。操作完成以后，我们再找来POWERRMV[费尔强力删除]，在路径里输入SYS文件的路径，然后点抑制再生，然后再点杀灭。见[图4]。至此，SYS文件就已经铲除完毕，不愧是变态流氓，费了这么大的劲才删除了驱动。

图4

    接下来我们来删除DLL文件。我们.在AUTORUNS里面把MY123的驱动的启动项目去掉以后，就可以重起了。MY123.COM这个流氓有好几个版本，有的版本在进行上述操作后重起出现加载MY123.DLL时出错，找不到指定模块的提示。假如没有，那我们就要借助SSM了。

    在重起后进入桌面，SSM在这时会提示DLL注入，注意。记起路径和文件名，正是MY123.COM的DLL。见[图5]这个版本不是利用SYS加载DLL的。而是利用RUNDLL32.exe来加载，启动项目在注册表.可以找到。我们先在警报窗.口点阻止。然后到AUTORUNS找这个启动项目，也可以到注册表搜索你记住的DLL名字。然后删除之即可。

图5

    顺利完成所有操作以后。大流氓MY123.COM已经完全滚出你的电脑了！我们可以对着电脑大喊：“我是恶棍我怕谁！”