使用映像劫持,ARP欺骗,autorun.inf等技术的AV杀手mgemtjk.exe,sb.exe,qodwjay.exe,smsovct.exe等2

和之前遇到的其它AV杀手相似，mgemtjk.exe 将常见的安全工具，如HijackThis, IceSword，卡卡安全助手，全部作了映像劫持（pe_xscan 的 log 中的O26 - IFEO）。
任务管理器和WinRAR窗口会被强制关闭。

运行注册表编辑器regedit.exe，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，删除其下的劫持项。

然后运行 IceSword，结果病毒模拟用户按键使IceSword窗口一闪而过，也被关闭了……

重启电脑，无法进入安全模式……

还是进入一般模式，用我的电脑打开mgemtjk.exe所在的文件夹C:\Program Files\Common Files\Microsoft Shared，窗口也会被关闭。不过在bat_do中通过dir命令，我们还是可以查看这个文件夹的内容：

D:\tools>dir C:\Program Files\Common Files\Microsoft Shared /a
 驱动器 C 中的卷没有标签。
 卷的序列号是 6459-0C30

 C:\Program Files\Common Files\Microsoft Shared 的

2007-12-27  09:18            27,566 mtkt
2007-12-27  09:18            27,566 qknv
2007-12-27  09:18            27,566 edpn
2007-12-27  09:18            27,566 mkih
2007-12-27  09:18            27,566 khex
2007-12-27  09:18            27,566 pmfp
2007-12-27  09:18            27,566 wvnm
2007-12-27  09:18            27,566 renm
2007-12-27  09:18            27,566 qmfw
2007-12-27  09:18            27,566 pswu
2007-12-27  09:18            27,566 hfsn
2007-12-27  09:18            27,566 bjwb
2007-12-27  09:18            27,566 skvb
2007-12-27  09:18            27,566 lxtd
2007-12-27  09:18            27,566 blvw
2007-12-27  09:18            27,566 rrxu
2007-12-27  09:18            27,566 tkbp
2007-12-27  09:18            27,566 tcjp
2007-12-27  09:18            27,566 lbhb
2007-12-27  09:18            27,566 msfs
2007-12-27  09:18            27,566 kirh
2007-12-27  09:18            27,566 ypwk
2007-12-27  09:18            27,566 kwds
2007-12-27  09:18            27,566 qqvr
2007-12-27  09:18            27,566 xsgv
2007-12-27  09:18            27,566 phhd
2007-12-27  09:18            27,566 digg
2007-12-27  09:18            27,566 pvbe
2007-12-27  09:18            27,566 wiqt
2007-12-27  09:18            27,566 uxmr
2007-12-27  09:18            27,566 aqfv
2008-01-03  21:26               169 jhqocsd.inf
2007-12-27  09:18            27,566 qmtj
2007-12-27  09:18            27,566 ijef
2007-12-27  09:18            27,566 fgvk
2007-12-27  09:18            27,566 nxmx
2007-12-27  09:18            27,566 aaqr
2007-12-27  09:18            27,566 vqkh
2007-12-27  09:18            27,566 ssmu
2007-12-27  09:18            27,566 nupl
2007-12-27  09:18            27,566 eltd
2007-12-27  09:18            27,566 vhes
2007-12-27  09:18            27,566 bhst
2007-12-27  09:18            27,566 nqpk
2007-12-27  09:18            27,566 owop
2007-12-27  09:18            27,566 jidn
2007-12-27  09:18            27,566 tkea
2007-12-27  09:18            27,566 mgemtjk.exe

文件还真不少，使用 FileInfo提取文件信息，发现大多数文件内容是相同的。

D:\tools>type C:\Program Files\Common Files\Microsoft Shared\jhqocsd.inf
[AutoRun]
open=smsovct.exe
shell\open=打开(&O)
shell\open\Command=smsovct.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=smsovct.exe

在这里我们还可以尝试用win xp 的 tasklist命令查找病毒进程的PID，然后用 taskkill 命令终止病毒进程。不过我没有这样做~

运行 msconfig.exe 取消 O4 组中的启动项。

把log中的红色显示的文件加入bat_do的待处理文件列表，全选，延时删除。然后选择其中一部分打包备份。再全选，改所选文件名，延时删除。

重启电脑……

再次检查有关的文件是否还存在，若还有残余则把它们拖入bat_do延时删除，重启……

卸载百度搜霸。

在msconfig.exe中恢复先前取消的O4组的启动项。

下载安装瑞星卡卡安全助手并运行，在高级功能—＞[插件管理及卸载] 里把O2 和O24 项卸载掉

在[高级功能]—＞[系统启用项管理]里,在左边点击[登录项]，在右边找到 O4 项对应的项目，右击，从弹出的菜单里选择删除。
接着在[高级功能]—＞[系统启用项管理]里,在左边点击[服务项]和[驱动]，在右边找到 O23 项对应的项目，右击，从弹出的菜单里选择删除；在左边点击[应用程序劫持项]，在右边找到 O26 项对应的项目，右击，从弹出的菜单里选择删除。
在[高级功能]—＞[IE及系统修复]里修复红色显示的部分，即 O6 项。

原文链接：http://blog.csdn.net/purpleendurer/archive/2008/01/08/2031025.aspx