猎杀连环木马

　　新装的XP系统，却发现偶尔有广告窗口跳出来，用 360 安全卫士查不到木马和恶评软件，安装了赛门铁克也没查到病毒。

　　打开进程管理器，却觉得多了很多不认识的进程，杀掉 webtc.exe 后，不出广告了，可是觉得另外一个叫 Rundll128.exe 的进程名字也很可疑，也杀了。还有一个 CTHELPER.EXE，也不知道到是什么，还有其他一些不认识的进程，有些据 360 报告，是驱动程序。

　　上网查 Rundll128.exe，发现几个报告病毒、木马的帖子，有一个英文的站点说，这个程序可能造成很严重的后果，赛门铁克网站上也有介绍，看来是木马无疑。

　　再查 webtc.exe，结果很多，和我遇到的弹出广告的情形类似，也是木马无疑。

　　再查 CTHELPER.EXE，都说是 windows进程、进程诊断、进程分析、系统进程、守护进程。

　　在硬盘上查找这两个木马文件，发现都在 C:\Program Files\Common Files\Microsoft 目录下，微软的共享文件应该在 C:\Program Files\Common Files\Microsoft Shared 目录下，所以，这个目录名本身就很可疑！进入目录，发现 CTHELPER.EXE！看来，这个文件也不是什么好东西。进入子目录，还发现 ntserver.exe，nvsvc64.exe，webinstall.exe 文件。

　　把目录中的所有文件删除，还剩一个 nvsvc64.exe，于是杀掉进程中的 nvsvc64.exe，删除文件，但是发现又开始出现广告，打开进程管理器，发现 CTHELPER.EXE、Rundll128.exe、webtc.exe 等又重新出现，再看那个目录，所有文件都重新出现。另外，发现 C:\Program Files\Common Files 下也有那几个病毒文件。

　　用 360 查启动项，有一个和 CTHELPER.EXE 相关的，说不能修复，于是打开注册表编辑器，找到它，在 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell 下，显示 Explorer.exe C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE，所以，这个木马，应该是借助 Winlogon 的 Shell 来启动的了。把它删除，再重新建立 shell，报告重名，刷新，发现 shell 已经重新出现，而且值还是 Explorer.exe C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE！

　　这个病毒作为 winlogon 的 shell 启动，所以，恐怕即使使用安全模式启动，也没有办法不让它加载，而且，把注册表修改回去和重新生成这些文件的，应该才是真正的病毒主体，我却还不知道它是哪个文件。

　　下载了 RegMon，监视写入，用注册表编辑器修改 winlogon 的 shell，发现一个程序马上把它修改了回来，这个进程叫 smss.exe:520 ，于是在网上查找 smss.exe，发现，有这么一个病毒也叫 smss.exe，正常的 smss.exe 应该在 system32 目录，而我的这个在 C:\Program Files\Common Files\System\smss.exe。

　　再用 FileMon 监视文件写入，发现，进行这些文件回写的也是这个程序，所以，看来它才是罪魁祸首！

　　现在唯一问题是，我不知道它怎么启动的，进程管理器中，也没有它的名字。

　　在注册表里查找 smss.exe，先在 HKLM\SYSTEM\ControlSet001\Control\Terminal Server\SysProcs 中找到，后在 HKLM\SYSTEM\ControlSet001\Services\Intel(R) Matrix Storage S Monitor 中找到，Intel 什么的这个名字很眼熟，好像在 Windows 服务列表里有看到过。

　　于是，打开服务列表，找到这个服务，它竟然不允许停止，于是禁用之，重新启动到安全模式，杀掉进程里的 CTHELPER.EXE，删除所有病毒相关文件，重新启动，出现找不到 CTHELPER.EXE 的错误，呵呵，再次修改注册表，将 winlogon 的 shell 改回原始，没有进程再修改它，整个世界安静了……