遭遇nat.exe,socks.exe,USP10.dll,BOSC.dll,kb080387.CNT,~ctwxw.txt等2

（续1）

　　从pe_xscan的log上看，恶意程序不仅使用了与Windows系统文件相同的文件名（如C:\Program Files\svchost.exe），这样运行时可以在任务管理器中迷惑用户，而且还替换了许多系统文件（log中以紫色标记，如C:\WINDOWS\system32\GDI32.dll），而使用映像劫持技术（IEFO）来阻止系统安全防护软件的运行，则不是什么新鲜的技术了。

　　由于鬼影病毒会修改硬盘主引导记录，需要修复，Google下载DrWeb CureIt!到U盘备用。现在的DrWeb CureIt!体积居然接近50MB了，记得以前刚开始用它时文件还不到5MB呢。

　　到http://purpleendurer.ys168.com下载了 bat_do、FileInfo、IEFO_Man，也放到U盘备用。

　　用Win PE光盘启动电脑，寻找可疑文件，用FileInfo提取文件信息，用bat_do打包备份。

　　用WinRAR检查并删除各盘下的伪装成文件夹的EXE文件。

　　把DrWeb CureIt!拷到F盘运行，不料DrWeb CureIt!强出来个对话框，没仔细看就点了确定按钮，结果屏幕被锁定，四个角显示“Dr.Web CureIT!加强模式”（看起来与Windows系统的“安全模式”相似），无法操作，按Alt+F4后桌面空白，按Ctrl+Alt+Del也没反应，只好重启电脑。

　　后来Google了一下，原来新版Dr.Web CureIT!新增“加强模式”，用户双击启动该软件时，会弹出提示窗口，点击“确定”按钮就会以“加强模式”来工作。在“加强模式”下除了Dr.Web CureIT!可以运行外，其它应用程序都将被锁定而无法运行，这样可以彻底地查杀更多的顽固病毒程序。

　　更多介绍可以参考：免费强悍大蜘蛛绿色版：Dr.Web CureIt！
　　http://news.newhua.com/news/2010/0925/103083.shtml

　　挺久没用DrWeb CureIt!这个软件了，不想被它撞了一下腰。

　　重启电脑从硬盘启动，果然出问题了：
　　电脑蓝屏！
　　出错信息为：Stop:c0000135 unknown Hard Error
　　估计与Windows系统被恶意程序替换有关。
　　重启电脑，选择以最后一次正确的配置来启动或以安全模式来启动，都不行。
　　手动恢复Windows系统文件太麻烦，朋友电脑中的C盘也没有什么需要保留的文件，于是一键还原。
　　一键还原并不能清除隐藏在硬盘主引导记录中的鬼影病毒，所以进入桌面后，鬼影病毒发作的症状再次上演：桌面有淘宝等图标；有名为nat.exe的命令提示符窗口一闪而过……
　　病毒还会从网上下载文件，所以在修复时最好断开网线。
　　运行F盘上的DrWeb CureIt!，选择常规模式扫描。
　　然后打开IEFO_Man，手工为nat.exe等恶意程序文件添加IEFO，以其人之道还治其人之身，阻止它们运行。

　　DrWeb CureIt!自动扫描结果如下：

　　DrWeb CureIt!检测到了隐藏在硬盘主引导记录中的鬼影病毒。

　　按提示重启电脑，接上网线，下载、安装金山安全套装，查杀病毒，检修系统。

　　发现金山卫士-网盾-浏览器设置-IE首页锁定功能不生效，把IE守护者卸载了才搞定。