GIg.House

回来后不知道不觉的进入我的系统，可恶！
看老子让你们好看～！！！

症状一：卡巴斯和其他的防毒软件被屏蔽；

症状二：在进程里多了两个不名的进程，一看就知道不是什么好进程，名字没有规则；而且结束后又出来，也就是说无法结束进程；

症状三：无法察看隐藏文件；

症状四：除C盘以外，其他盘里面都加了一个“Autorun.inf”和一个“×.exe”文件；当用到U盘时自动会在U盘里加入这两个文件；当删除时又自动生成（隐藏的而且是系统文件）；

症状五：安全模试无法进入；

这里还有一点就是在盘符用右键打开菜单时没有“Autorun”这个选项；（这个病毒做的真不错，就差注册表屏蔽了！）

先找开注册表找到RUN键值，找到非法的文件路径；是“D:\Program Files\Common Files\Microsoft Shared  “没想到会是这个路径；但是隐藏文件无法察看；

用CMD察看，果然有那两个文件；

找到注册表“Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”
把CheckedValue的值改成“1”当然这个值是DWORD的而不是String的；

这时可以察看隐藏文件了；

当找到病毒文件时，发现在删除不了，因为进程无法结束；这进上网上下一个“冰刃”下载时把文件名改了，要不这家伙认得“冰刃”；这时用“冰刃”打开病毒文件的地址，找到程序用“冰刃”强制删除；应该是两个文件一个在Program Files\Common Files\Microsoft Shared 里一个在Program Files\Common Files\Microsoft Shared \System里；

这时再删除其他盘里的这些文件；然后发现在杀毒软件还是无法启动；经检察是一个叫 pkeusvq(Auto) 这东东在做怪；
找到地址：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe删除！

然后重启机，应该就没什么问题了。