ｓｙｓｔｅｍ．ｅｘｅ病毒的特點以及簡易清除法

system.exe病毒本身沒有多少破壞性，也不難對付。

可是，這個病毒會從網上下載大量的木馬程序，并激活那些木馬。

以下網址就是system.exe病毒下載木馬的地方：

http:\\\\222.hfdy1515.net （為了避免誤操作，我改成反斜杠了）

http:\\\\xiazai.cpushpop.com

一個被system.exe病毒感染的系統里面通常都有30多個不同類型的木馬。

木馬和病毒主要分布在system32目錄或drivers目錄下，比如：

beep.sys（位于drivers目錄，3kb大小，system病毒通過網頁傳播時，beep首先進入這個目錄，重啟系統后，偽裝成系統驅動啟動，然后下載system.exe和其他病毒，估計是病毒的網絡先鋒官。不是通過網頁形式傳播時，不一定有這個文件）

HBKernel32.sys（system.exe病毒的病根，每次都位于drivers目錄，15kb大小；還要當心HBService32.sys，這兩個總有一個進駐drivers目錄）

以下是木馬成員名單（陣容龐大，這里的名單不完整）：

HBmhly.dll、 hcpbimfs.dll、 ringtte.dll、ringttek.exe、HBWOW.dll、HBXY2.dll、HBCH

IBI.dll、HBTL.dll、rlrzyxdb.dll、vvtmqywm.dll、yfnrbzow.dll、HBDNF.dll、eskcmars.dll、HBQ

QSG.dll、HBSOUL.dll、opaaicuy.dll、racfsdnj.dll、wllame.dll、ynzydwym.dll、ynzydwym.nls、 bxtdwxqx.dll、 bxtdwxqx.tmp、 ezvjhyji.dll、ikpwzzts.dll、johandy.dll、oxmhcaeo.dll、wrm32.dll、 HBFY.dll、 kildh3l.dll、 yucfyuhu.dll、 fpyxjwsx.dll、 gdipro.dll、 kandofn.dll、4c70249.sys、 D91BC61E.dll、 HBSO2.dll、HBQQFFO.dll、 3474A8C2.dll、wtsapi32yt2.dll、sslsocket.dll

在程序組Program Files\\Common Files目錄下還隱藏有木馬，比如：

cpush.dll

Documents and Settings \\ All Users \\ Application Data\\Microsoft\\OFFICE\\USERDATA目錄下也有木馬，比如：

webbrowser_2198.dll（就是一個被捆綁了木馬的瀏覽器，也可能位于temp目錄里面，就是不打開瀏覽器，這個簡易瀏覽器也會通過80端口自動下載木馬，也可能取名為urlm0n.dll）

Office程序目錄里面也有木馬，比如：

sysbar.exe（不要小瞧它，如果忽略了它，它會讓其他病毒重返你的系統!）

temp目錄有很多木馬，system.exe從網上下載的病毒先放在temp目錄里面，激活進入系統后，一般會自動刪除源病毒文件。

有些變種病毒還會結合autorun.inf，復制病毒到每個磁盤分區根目錄下。還有的病毒會藏在System Volume Information目錄里面。

中毒后，幾乎所有的殺毒工具都不能啟動，安全模式被破壞。要手動清除這么多的頑固病毒，是一件很麻煩的事情。只要有一兩個病毒沒有被清除，其他病毒都會卷土重來，這時我們要對付的，幾乎就是一個木馬軍團！

這兩天，經過很多次試驗，我終于找到一些容易操作的比較簡便的方法來對付這種病毒。

需要用到一些工具，比如PE光盤（或安裝TonPE系統工具箱到硬盤里面）、AutoGuarder.exe、360安全衛士（應該還有其他工具可用，沒有一一試驗，除了PE工具，我自己很少用其他工具）。

步驟：

先用AutoGuarder.exe工具修復系統的安全模式（如果不能啟動，就改名字）；

開機后按F8鍵，以安全模式啟動系統；（最好用帶網絡連接的安全模式，以便升級病毒庫）

啟動到安全模式后，用360安全衛士掃描并清除木馬（可能要改名才能啟動，我把360Safe.exe改名為3360Safe.exe，就可以啟動了，就是前面加一個3）；

打開注冊表，找到HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT

CurrentVersion\\Image File Execution Options，刪除這個鍵項。搜索注冊表，刪除system.exe的所有鍵項，一般有兩處。對注冊表不熟悉時，也可以用AutoGuarder.exe所帶的IFEO映像修復功能修復。

如果以上步驟無法實施，那么，只能用PE光盤或TonPE工具啟動系統到PE界面，手動清除以上病毒，注意清除病毒前先用壓縮軟件備份，或者復制到其他目錄里面，以防誤刪除系統文件。

做完這些事，系統基本上恢復正常了。但是病毒仍然有可能卷土重來，最好啟用NTFS權限，把Program Files\\Common Files目錄的權限設置為禁止寫入；drivers目錄也可以啟用NTFS權限，設置為所有賬戶禁止寫入。

我自己試驗了一下，把Program Files程序目錄下的Common Files子目錄設置為禁止寫入、禁止運行后，再激活system.exe病毒，盡管system.exe自動把其他木馬病毒程序下載到了C:\\Documents and Settings\\Administrator\\ Local Settings \\ Temporary Internet Files目錄里面，并開始進入C:\\ Documents and Settings \\ Administrator \\ Local Settings\\Temp目錄下準備安裝（激活），可是，到了temp目錄里面以后，就再也沒有任何進展，重啟幾次，等老半天也沒有動靜。

我懷疑，程序組目錄里面的Common Files目錄是病毒從temp目錄入侵系統system32目錄和drivers目錄的跳板之一。一旦進入系統目錄，重啟后，就會自動提升為系統進程，對付起來就沒那么簡單了，因為超級管理員賬戶的權限也沒有system賬戶權限大。

由于system病毒從網上下載的木馬病毒不是固定的，而且其中很多木馬都很頑固，因此別指望用一個工具就把他們全部搞定。需要有點耐心，殺毒工具清除不了就在PE界面手工刪除病毒，可以多用幾個工具試試。以上所提的方法已經很大程度上降低難度了，也許有更加簡單的方法，比如一鍵還原，能使系統暫時恢復正常。

后記：

據說，這個病毒就是最近兩三個月開始流行的“蝗蟲軍團”木馬群病毒。