netbios.sys反复查杀搞不定，浏览器弹出www.ie7.com.cn的解决办法

一、中毒现象：
只要打开ie浏览器，就会弹出 www.ie7.com.cn。且使用360安全卫士反复查杀无法搞定。

二、简要技术分析（珠海病毒分析组提供）
病毒替换系统的netbios.sys，netbios.sys是一个与网络协议有关的系统文件。

（1）InlineHook了IoCreateFile,即在该函数的入口加入E9(JMP),那么每当系统调用IoCreateFile的时候都会跳到病毒的驱动模块中来执行

（2）在执行例程中,病毒首先会判断传入的路径,一旦发现是病毒自身所在的路径,则立即返回,实现对病毒母体文件操作的过滤,一般的用户级程序无法删除或移动netbios.sys; 接下来该驱动中会调用PsSetCreateProcessNotifyRoutine来注册一个NotifyRoutine函数

（3）每当有新的进程创建时,这个NotifyRoutine函数都会被调用到,在这个函数中,病毒会检查进程的路径,一旦发现用户打开的是IEXPLORE.EXE并且该进程的父进程是EXPLORER.EXE or SVCHOST.EXE or LSASS.EXE,那么病毒会首先KeAttachProcess到该进程中,

（4）通过_EPROCESS结构定位到CommandLine,即获取到传入IE浏览器的命令行参数,解密自身的字符串: http://www.ie7.com.cn,并 调用sprintf将该串入原来的命令行参数中,即命令行参数被修改为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE  http://www.ie7.com.cn ",做完这些坏事后,KeDetachProcess去除进程的附加,此时的IE浏览器就会弹出这个烦人的恶意网址.

三、解决办法：
安装金山网盾3.5或金山急救箱，使用这两个工具的任一个扫描，重启电脑故障即可解决。
点击这里免费下载金山急救箱3.0
点击这里免费下载金山网盾3.5