[ｓｙｓｔｅｍ．ｅｘｅ病毒的特点以及简易清除法]system.exe

　　system.exe病毒本身没有多少破坏性，也不难对付。 　　可是，这个病毒会从网上下载大量的木马程序，并激活那些木马。 　　以下网址就是system.exe病毒下载木马的地方：
　　
　　http:\\222.省略 （为了避免误操作，我改成反斜杠了）
　　http:\\xiazai.省略
　　
　　一个被system.exe病毒感染的系统里面通常都有30多个不同类型的木马。
　　木马和病毒主要分布在system32目录或drivers目录下，比如：
　　beep.sys（位于drivers目录，3kb大小，system病毒通过网页传播时，beep首先进入这个目录，重启系统后，伪装成系统驱动启动，然后下载system.exe和其他病毒，估计是病毒的网络先锋官。不是通过网页形式传播时，不一定有这个文件）
　　HBKernel32.sys（system.exe病毒的病根，每次都位于drivers目录，15kb大小；还要当心HBService32.sys，这两个总有一个进驻drivers目录）
　　以下是木马成员名单（阵容庞大，这里的名单不完整）：
　　
　　HBmhly.dll、 hcpbimfs.dll、 ringtte.dll、ringttek.exe、HBWOW.dll、HBXY2.dll、HBCH
　　IBI.dll、HBTL.dll、rlrzyxdb.dll、vvtmqywm.dll、yfnrbzow.dll、HBDNF.dll、eskcmars.dll、HBQ
　　QSG.dll、HBSOUL.dll、opaaicuy.dll、racfsdnj.dll、wllame.dll、ynzydwym.dll、ynzydwym.nls、 bxtdwxqx.dll、 bxtdwxqx.tmp、 ezvjhyji.dll、ikpwzzts.dll、johandy.dll、oxmhcaeo.dll、wrm32.dll、 HBFY.dll、 kildh3l.dll、 yucfyuhu.dll、 fpyxjwsx.dll、 gdipro.dll、 kandofn.dll、4c70249.sys、 D91BC61E.dll、 HBSO2.dll、HBQQFFO.dll、 3474A8C2.dll、wtsapi32yt2.dll、sslsocket.dll
　　
　　在程序组Program Files\Common Files目录下还隐藏有木马，比如：
　　cpush.dll
　　Documents and Settings \ All Users \ Application Data\Microsoft\OFFICE\USERDATA目录下也有木马，比如：
　　webbrowser_2198.dll（就是一个被捆绑了木马的浏览器，也可能位于temp目录里面，就是不打开浏览器，这个简易浏览器也会通过80端口自动下载木马，也可能取名为urlm0n.dll）
　　Office程序目录里面也有木马，比如：
　　sysbar.exe（不要小瞧它，如果忽略了它，它会让其他病毒重返你的系统!）
　　temp目录有很多木马，system.exe从网上下载的病毒先放在temp目录里面，激活进入系统后，一般会自动删除源病毒文件。
　　有些变种病毒还会结合autorun.inf，复制病毒到每个磁盘分区根目录下。还有的病毒会藏在System Volume Information目录里面。
　　中毒后，几乎所有的杀毒工具都不能启动，安全模式被破坏。要手动清除这么多的顽固病毒，是一件很麻烦的事情。只要有一两个病毒没有被清除，其他病毒都会卷土重来，这时我们要对付的，几乎就是一个木马军团！
　　这两天，经过很多次试验，我终于找到一些容易操作的比较简便的方法来对付这种病毒。
　　需要用到一些工具，比如PE光盘（或安装TonPE系统工具箱到硬盘里面）、AutoGuarder.exe、360安全卫士（应该还有其他工具可用，没有一一试验，除了PE工具，我自己很少用其他工具）。
　　
　　步骤：
　　
　　先用AutoGuarder.exe工具修复系统的安全模式（如果不能启动，就改名字）；
　　开机后按F8键，以安全模式启动系统；（最好用带网络连接的安全模式，以便升级病毒库）
　　启动到安全模式后，用360安全卫士扫描并清除木马（可能要改名才能启动，我把360Safe.exe改名为3360Safe.exe，就可以启动了，就是前面加一个3）；
　　打开注册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
　　CurrentVersion\Image File Execution Options，删除这个键项。搜索注册表，删除system.exe的所有键项，一般有两处。对注册表不熟悉时，也可以用AutoGuarder.exe所带的IFEO映像修复功能修复。
　　如果以上步骤无法实施，那么，只能用PE光盘或TonPE工具启动系统到PE界面，手动清除以上病毒，注意清除病毒前先用压缩软件备份，或者复制到其他目录里面，以防误删除系统文件。
　　做完这些事，系统基本上恢复正常了。但是病毒仍然有可能卷土重来，最好启用NTFS权限，把Program Files\Common Files目录的权限设置为禁止写入；drivers目录也可以启用NTFS权限，设置为所有账户禁止写入。
　　我自己试验了一下，把Program Files程序目录下的Common Files子目录设置为禁止写入、禁止运行后，再激活system.exe病毒，尽管system.exe自动把其他木马病毒程序下载到了C:\Documents and Settings\Administrator\ Local Settings \ Temporary Internet Files目录里面，并开始进入C:\ Documents and Settings \ Administrator \ Local Settings\Temp目录下准备安装（激活），可是，到了temp目录里面以后，就再也没有任何进展，重启几次，等老半天也没有动静。
　　我怀疑，程序组目录里面的Common Files目录是病毒从temp目录入侵系统system32目录和drivers目录的跳板之一。一旦进入系统目录，重启后，就会自动提升为系统进程，对付起来就没那么简单了，因为超级管理员账户的权限也没有system账户权限大。
　　由于system病毒从网上下载的木马病毒不是固定的，而且其中很多木马都很顽固，因此别指望用一个工具就把他们全部搞定。需要有点耐心，杀毒工具清除不了就在PE界面手工删除病毒，可以多用几个工具试试。以上所提的方法已经很大程度上降低难度了，也许有更加简单的方法，比如一键还原，能使系统暂时恢复正常。
　　
　　后记：
　　
　　据说，这个病毒就是最近两三个月开始流行的“蝗虫军团”木马群病毒。