断峰狼的博客

电脑被我弟弟不小心弄的中招了，卡巴斯基老是提示有风险，点击删除操作之后，卡巴提示需要重启才能删除名为 Trojan.Win32.Crypt.yo 的木马病毒。
于是重启了电脑，但仍然提示有风险，继续检测，发现还是那个病毒，删了之后又重启。重启后又有提示，我暗叹，这鸟病毒还不简单。又用了安全卫士360和腾讯木马查杀工具，结果都无能为力。准备上网搜索这个病毒，却发现首页被篡改为 ***.6700.cn/?tn=10273 这个鸟地址。心里这个火啊，想找些词把他祖宗都骂了个遍。更火的是居然都找不到相关的资料，百度压根就没有6700.cn的记录，谷歌只有4条。不过还好百度有个相关搜索推荐，点进去之后发现很多有关骂这个网站的文章。
　　骂归骂，还是要解决病毒这个问题的。网上主要给出两个方法：一是用某某软件将被强行改过主页的IE再改回来，不过这个方法是治标不治本；二是结合安全卫士360和Unlock工具，彻底删除病毒。具体讲讲第二种方法吧。
　　先找到文件 c:\windows\system32\zvF4Jf.dll ，删除不了，提示程序已被使用，于是下载了Unlock解锁此文件，删除，重启。启动后电脑提示，“加载 c:\windows\system32\zvF4Jf.dll时出错 找不到指定的模块”，说明删除有效果了，但同时也提示了这个病毒程序潜伏在boot启动项里。在运行框里输入config，却打开了C:\WINDOWS\system32\config文件夹，无果，只有用安全卫士360查找启动项，但是找来找去没有找到异常，后来就进行检测，终于找到 O41 – izaoi – izaoi – C:\WINDOWS\system32\drivers\izaoi.sys – (running) – - – 这个异常的驱动程序。后来又用了网上的一个方法“在设备管理器里点击‘查看’－‘显示隐藏的设备’，可以在‘非即插即用驱动程序’里看到一些隐藏的驱动程序。一些流氓软件、恶意程序、病毒往往隐藏在这里”。把izaoi停用后再重启，又把注册表有关6700.cn的东西清理了一遍，在搜索windows里的文件夹时找不到了。好了，这个世界终于清净了。

　　再用安全卫士360检测时，出来的报告是“O41 – izaoi – izaoi – C:\WINDOWS\system32\drivers\izaoi.sys – (not running) – - – ”。 orz，病毒还没有完全清除，不过这时已不大碍事了。

2008年11月11日23:58:23