一个奇怪现象的分析过程

今天一开机，发现windbg，procexp.exe等都无法运行了，第一感觉，中毒了。

还好，XueTr还可以打开，打开一看，果然被镜像劫持了。

如图所示：

罪魁祸首源自于netmeeting.exe,它是无恶之源，它依次创建了wuauctl.exe,update_temp.exe,msxmlr.exe,vmnetdhcp.exe,ntldr.exe。理清了这些，接下来就是清除。

先用XueTr将所有的映像劫持删除，然后可以运行procexp.exe，此时，在procexp.exe的进程列表中，查找到C:\Program Files\Common Files\Installations\wuauctl.exe，将此进程关闭（流氓软件主程序）。

然后将如下的命令，令存为一个del.bat，

attrib -s -h -r C:\WINDOWS\system32\netmeeting.exe
del C:\WINDOWS\system32\netmeeting.exe /q
attrib -s -h -r "C:\Program Files\Update files\update_temp.exe"
del "C:\Program Files\Update files\update_temp.exe" /q
attrib -s -h -r "C:\Program Files\Common Files\Installations\wuauctl.exe"
del "C:\Program Files\Common Files\Installations\wuauctl.exe" /q
attrib -s -h -r "C:\Program Files\VMware files\vmnetdhcp.exe"
del "C:\Program Files\VMware files\vmnetdhcp.exe" /q
attrib -s -h -r d:\ntldr.exe
del d:\ntldr.exe
attrib -s -h -r d:\autorun.inf
del d:\autorun.inf

然后双击此bat；

另外，在注册表中，

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

有两个键值分别为

C:\Program Files\Update files\update_temp.exe 和

C:\Program Files\Common Files\Installations\wuauctl.exe的两个字符串变量，

一并删除之。

至此，流氓软件清除了。