今天，一個朋友電腦IE的首頁又被別人QJ了。。 用各類殺病毒，殺木馬的工具折騰了一段時間後，發現主頁修改還是有問題：那就是無論我怎麼樣把主頁選定在空白頁，那個該死的網頁都一定會在我瀏覽器的首頁裡面蹦出來。此時，我還剩最後一個殺手鐗：system repair  engineer。一般，我總是用它做最後的掃尾工作，因為大都被工具不能自動查殺的病毒或者木馬多多少少都要修改系統的配置，用這個工具可以查到這些蛛絲馬跡，對手工查殺它們還是很有幫助的。

但是，這次還是令我失望了（後來知道，因為這個病毒是修改了正常的XP系統檔案）。系統配置，包括開機啟動項及載入的驅動及服務根本沒有任何異常。這讓我很鬱悶跟惱火，因為我查看了當前系統正在執行的程序，根本沒有不熟悉的程序啊，而且系統載入的DLL跟驅動也沒有問題，什麼東西這麼厲害？？

瀏覽了一下手頭上的工具單，發現還有hijackthis沒有使用，於是習慣性的點開了它的工具包。。接下來便是用該工具進行掃描，發現了一個服務，並不是系統的，需要載入rundll32.exe，值得注意的是hijackthis竟然提示“檔案丟失”？？？這可是系統關鍵模組啊，丟失了怎麼啟動XP啊？？趕快“dir rundll32.exe /s/a“搜了一下，發現有rundll32.exe這個檔案，心想應該是原來中的某個病毒在不同的目錄下也生成了一個rundll32.exe病毒體檔案，並載入了一個系統服務，不過它沒有存活下來，估計是被我的MCAFEE給攔腰斬斷了。哈哈。。剛想“exit“，突然發現了問題，這個rundll32.exe雖然位置沒錯，可是檔案的修改時間確不是熟悉的2004年8月8日（正常的系統檔案日期也可能是2004年的某一天，但應該跟system32目錄下所有系統檔案日期一致），而是今天！。趕忙到windows視窗下檢視這個檔案的詳細資訊，基本可以肯定這個檔案應該是微軟的。但為什麼日期修改了呢？會不會不自動升級了這個檔案？但當我看到我已經把系統升級給禁用的時候，再考慮到修改日期為今天，正好是中毒的同一天，基本上可以肯定，就是病毒修改這個檔案。這樣不但可以騙過我們，還可以輕鬆隨系統檔案啟動病毒體（呵呵，其實當年在大學的時候，研究dos下的病毒多數是這種感染方法）。

找到病毒體，接下來的事情就容易了，刪掉舊檔案，然後從我的筆記本上把正確版本的rundll32.exe檔案拷貝到她的電腦上面（不過這裡面一定要記住把拷過來的檔案事先加上“只讀”屬性，要不然，因為病毒常駐記憶體，會把好的檔案又感染的！！！！！）。搞定，重啟。鬱悶，發現那該死的首頁又蹦出來了~。。

突然想到是不是病毒修改了多個系統檔案？？ 於是搜尋了一下所有修改日期為今天的檔案，發現有如下系統檔案也被感染了：

c:/windows/system32/rundll32.exe （這個開始已發現）

c:/windows/regedit.exe

c:/windows/system32/runonce.exe

c:/windows/system32/userinit.exe

c:/program files/internet explorer/iexplore.exe

（此時，突然感到慶幸。要是病毒把所有的可執行檔案都感染了怎麼辦？真是不寒而慄。。 -_-!）

另外，同時發現了病毒的其他檔案：shelllink.exe，shelllnk.tlb，run.exe（目錄忘記了。好像是c:/windows下面，大家可以搜尋一下，其中第二個檔案必須關閉所有的IE窗口才能正常刪除！）

接下來的事情就很順利了，把感染的系統檔案全部替換後（一定要記住在用新檔案替換感染檔案之前，把新檔案設定只讀屬性！！）。刪掉病毒其他的檔案，重啟。呵呵。世界終於清靜了。。

p.s 我很痛恨病毒，木馬以及一切的惡意程式碼，我一個好朋友的QQ就被盜Q木馬給弄走了。現在還沒弄回來。。

如果大家有什麼問題或建議，可以留言給我。。呵呵。大家共同反黑~  盼天下無毒的那天。