故障原因：

从网上下载了一个FAR HTML软件，运行注册机染毒（声明：运行之前已经对注册机扫描，Nod32和木马克星未报毒）；

症状：

打开IE后，每间隔一段时间，随机打开一个网页：

http://www.dabao1.cn/adv.htm

http://008.wangwang1.cn/bbs/fx.htm

等各类随机网页，打开的网站本身也是挂马的网站，Nod32会报警并自动关闭进程。

 

木马修改系统：

增加了系统驱动：

Protector        c:\windows\system32\drivers\protector.sys    
ProtectorA        c:\windows\system32\drivers\protectora.sys

篡改系统服务：

Messager C:\WINDOWS\SYSTEM32\msgsvc.dll ，替换了操作系统原有的文件，换成了木马文件，并且修改服务为自动启动，其他诸如Remote Register等各类服务，都被修改为自动启动；注意，这个木马DLL和原始的DLL居然MD5相同，但用Hex32打开，对比原始文件存在不同，强的很。

 

解决过程：

1、使用autorun.exe删除Protector  和 ProtectorA 服务。如果对应的.sys文件删除不了，使用WinPE启动系统，手工删除即可；检查启动组，服务等各种自启动项是否有异常，如果有，直接删除异常条目，并记录目标文件，以便稍后用WInPE删除。例如，木马可能生成一个自启动项“QQ升级服务”，“MSN升级服务”，并链接到C:\Windows\xxx.exe的一个文件，或者其他什么文件。

2、进入WinPE，删除C:\WINDOWS\SYSTEM32\msgsvc.dll ，删除各种Temp文件夹的文件及子文件夹，包括所有的IE缓存及设置
C:\Documents and Settings\用户名\Local Settings\Temp

C:\Documents and Settings\用户名\IETXXXCache\ （XXX可能是你安装了的组件的名称，或者其他什么，都可以删除，重新启动系统后会重建，但你的个人设置数据会丢失）

3、重启系统进入安全模式，运行sfc/scannow，并准备好原始的WInxp xp2安装盘，恢复被篡改的服务。

4、重新启动系统，进入正常模式，下载http://download.microsoft.com/download/0/9/F/09F12296-8FE7-41AD-AED7-F613AD30C9F3/MicrosoftFixit50198.msi

这个是微软发布的IE Fix Tool，会修复IE的注册表以及IE的各种注册文件，检查IE的DLL文件版本，修复主页等等；

5、把那些木马网站加入host屏蔽中；

6、重新启动系统；木马清理完成；

 

其他问题：

虽然木马删除了，但修复后的IE可能一些功能不好用了，例如网上银行安全验证控件不好用了，这时你只需要重新安装网银的ActiveX控件即可。

本文转自斯克迪亚博客园博客，原文链接：http://www.cnblogs.com/sgsoft/archive/2009/06/21/1507675.html，如需转载请自行联系原作者