金陵之風(fēng)塵

最近一次上網(wǎng)的時候，監(jiān)控程序報有一可執(zhí)行文件LOADHW.EXE將登錄在啟動項(xiàng)里。我曉得肯定是中毒了，但當(dāng)時我的諾頓病毒庫未即時更新，還查不出該病毒來。于是，自己動手查，終于將其殺掉了，現(xiàn)將過程記錄如下。

中招后的跡象比較明顯，一是啟動電腦時輸入用戶名和密碼后，鼠標(biāo)光標(biāo)會變成漏斗狀，且進(jìn)入系統(tǒng)所需時間顯示變長；二是關(guān)機(jī)或重啟的時候，第一次按確定按鈕并不關(guān)機(jī)，而是屏幕變暗，這時點(diǎn)擊鼠標(biāo)可以回到桌面，要再一次選擇關(guān)機(jī)或重啟才能生效。

該木馬一共有三個文件，分別是：
C:\WINNT\System32\LOADHW.EXE
C:\WINNT\System32\msitinit.dll
C:\WINNT\System32\drivers\npf.sys

LOADHW.EXE是一個安裝文件，在會把自己注冊在：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
如果它被刪除掉，并不影響木馬的運(yùn)行，只是在開機(jī)時會報該文件不存在。

msitinit.dll是常駐內(nèi)存的，但注冊表中并沒有記錄它（很狡猾）。

npf.sys注冊為一個服務(wù)程序，且在“控制面板->管理工具->服務(wù)”中看不到，要在注冊表中才能看到：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTF
它負(fù)責(zé)在啟動時將msitinit.dll調(diào)入內(nèi)存，以及一些其它操作。

用WinPatrol軟件中CAT將這三個文件都列入黑名單（不然msitinit.dll會在開機(jī)時駐進(jìn)內(nèi)存而無法刪除），重啟電腦，刪除這些文件和相應(yīng)的注冊表記錄，病毒就給刪除了。

雖然病毒刪除了，但也在注冊表中留下了很多的垃圾鍵值，且我還不知道刪除這些鍵值會不會對系統(tǒng)有什么影響，所以一直沒有敢冒然清理：
例如，在Npf的注冊項(xiàng)里有一個ClassGUID={8ECC055D-047F-11DI-A537-0000F8753ED1}
有不少地方都有對它的引用。另外，如果你用UltraEdit打開npf.sys，其中一部分是亂碼，還有一部分可識別的文本中就有一些注冊表鍵值，我也不清楚能否刪除它們，所以只好保留著。

反正，與病毒的對抗中，永遠(yuǎn)不可能成為贏家！