昨天的病毒

昨天遇到一个很麻烦的 SpyWare，很厉害！
一、是在看网页的过程中中毒的。一个普通的页面（也许不那么普通），在浏览过程中崩溃（怀疑是缓冲区溢出），接着机器反应变慢，CPU 占用率上升。
二、打开任务管理器，发现 cmd.exe、net.exe、explorer.pif 等非正常进程，并且发现进行中止杀毒软件的操作（运行的命令中涉及各大知名杀毒软件）。
三、自动打开浏览器进程，但又不显示实体窗口。
四、硬盘根目录下出现 autorun.inf、explorer.pif 等文件。
五、注册表中在各个角落添加 N 多自启动文件，且大多为 dll 文件。（用 autoruns 查看）
六、系统目录下添加许多可执行文件和链接库文件。
七、进程表中在执行完一系列的 cmd.exe、net.exe 后无明显异常常驻进程，但用 PE 可见系统 svchost.exe 及其他进程中被注入大量其他线程。
八、系统日期被改到 2002 年的同一天。
九、时间可以改回来，但所有注册表中的添加内容、系统文件夹下的文件、根目录下的文件都被实时监控，一旦被修改即在一秒钟之内恢复。
十、破坏安全模式。

解决方法：
〇、断线。
一、将时间修改回来。
二、运用策略，禁止 PIF 文件、net.exe 及其他一些出现的恶意文件运行（DLL 文件无法直接禁止运行）。
三、运行 PE，查找注入的线程，找到文件，改名（XP 这点又好又不好，正在运行的文件是可以被改名的）；同时在同一目录下新建同名的文件夹。
四、直接拔电源，防止文件回写。
五、重启，删除被改名的文件。
六、删除注册表中的相关项目。
七、修复安全模式。
八、用金山的在线查毒，确保无漏网之鱼（我一向用的金山，而且是旧版本。虽说防毒能力一般，但使用方便，对系统占用较小。其实在我自己家的电脑上是不装杀毒软件的）。
九、检查，确保防火墙上没有被钻洞。

经过两个小时的奋战，终于完工。

2008-04-28添
在网上又见到这个类似的病毒的描述：
http://safe.zol.com.cn/90/905046.html