笔者直接打开该优盘，在其中很快找到了名为“polycing.exe”的处于隐藏状态的可疑程序，在其右键菜单上点击“扫描病毒”项，执行手工检测操作，可是该杀毒软件却显示没有发现病毒文件。看来，该杀毒软件的功力不够，于是将其卸载换装了另外一款口碑不错的杀毒软件，对该优盘进行查杀，仍然没有发现病毒信息。由此得出结论，该病毒不是经过加壳处理，就是经过特殊的免杀处理，让杀毒软件无法准确判断其身份。靠人不如靠己，笔者决定手工将其清除。

笔者在虚拟机中运行了该程序，观察其行为特点，发现中毒后系统每隔一段时间硬盘就会出现一个使用高峰，硬盘灯频繁闪烁，CPU占用率居高不下，似乎有程序长时间读取硬盘数据，而且杀毒软件无法正常运作，实时监控模块无法正常打开。运行XueTr这款安全工具，在进程列表中除了发现很明显的病毒进程外，还发现一个名为“polycing.exe”隐藏进程，看来病毒将自身隐藏起来了。

当开机后，系统会显示无法查看某文件的错误信息，当连入优盘、移动硬盘等设备后，双击移动存储设备盘符后，系统运行速度明显变慢。在其根目录下会出现几个来历不明的文件，即使手工将其删除，但是不久之后这些可疑文件又会自动出现，而且无法按照正常方式移除USB设备，只有手工将其强制拔出。要想清除病毒文件，需要了解其对系统做了哪些手脚。

使用SREng、瑞星听诊器等工具，可以对系统进行智能扫描并创建安全报告，对其进行分析，就可以让病毒露出马脚。这里以瑞星听诊器为例进行说明，在其主界面中点击“开始扫描”按钮，该工具可以对系统方方面面进行安全检测。当扫描完毕后，会在统一目录下生成名为“瑞星听诊信息.htm”的报告文件。将其打开后，在“未知家族病毒分析”栏中显示检测到的未知病毒信息，在“系统活动进程”栏中显示当前的所有进程信息，而且针对每一个进程列出其加载的DLL模块信息。在“普通自启动项”栏中显示包含在注册表中启动项信息。

在“AppInit_DLLs”栏中显示加载的初始化动态链接库信息，在“系统文件关联”栏中显示常用文件类型的关联信息，在“其它启动项”栏中显示比较隐蔽的启动项信息，在“WinLogon启动项”栏中显示和系统登录有关的启动项。在“IE-BHO”栏中显示IE的相关插件信息，在“Winsock SPI”栏中显示和网络底层配置相关的文件信息，在“系统服务项”栏中显示全部系统服务信息，在“文件驱动”和“系统驱动项”栏显示全部的驱动文件信息。在默认情况下，正常的检测项目会以绿色进行显示，对于可疑的项目，会以亮白方式显示。结合以上检测报告，可以发现该病毒对系统所做的小动作。在启动项中发现了很多的病毒木马项目，主要用来执行感染文件，盗取数据等非法操作。

由此可见，该病毒程序并不是单独行动，而是一个下载工具，当其运行后，会不定时的从网上下载大量的病毒木马程序来对系统进行渗透和破坏。而且在不同的虚拟机中进行的测试表明，该病毒文件会随机下载不同的病毒木马文件，即每次发作时下载的不法程序不尽相同。运行XueTR这款安全利器，在其主界面中打开“服务”面板，在其中发现一个名为“netersvc”的服务非常可疑，其显示名称为“Network Error Repair”，从表面上看似乎用来修复网络错误，其实这是病毒的一个幌子，其真实用途是在系统启动时自动激活病毒程序。另外一个名为“601D51FA”的服务看上去就极为可疑，可以断定是配合上述病毒服务活动的。根据启动项中提供的信息，在各磁盘的根目录下发现了病毒创建的“Autorun.inf”文件，“polycing.exe”等文件，在“C:Windows”文件夹下发现了名为“avpsrv.e x e”、“c m d b c s.e x e”、“mppds.exe”、“msccrt.exe”、“upxdnd.exe”、“kvsc3.exe”、“winform.exe”、“cnzz.exe”等病毒文件，而且在“C:WindowsSystem32”目录中会发现了与这些文件名称相同的DLL文件。在“C:WindowsSystem32”目 录 下 发 现 了“mh100”、“mh100.dll”、“nwizasktao.exe”、“nwizasktao.dll”、“nwizhx2.exe”、“nwizhx2.dll”、“nwizqjsj.exe”、“nwizqjsj.dll”等病毒文件，在“C:Windowssyswm7”目录中发现名为“ghook.dll”、“svchost.exe”等 病 毒文件，点击“Win+R”键，输入“%temp%”，回车打开临时文件夹窗口，在其中发现名为“c0nime.exe”、“gjzo0.dll”、“upxdnd.exe”、“upxdnd.dll”等病毒文件。这些病毒文件几乎都处于隐藏状态，其中一部分是病毒自身产生的文件，一部分是病毒下载的恶意程序。所以需要先在文件夹选项窗口中选择“显示所有文件和文件夹”项，不选择“隐藏受系统保护的文件”项，才可以将其显示出来。

经过分析，发现病毒会将下载的恶意程序先放到IE临时文件夹中，然后才会执行或者释放病毒木马文件，其创建病毒文件的方式有些特殊，先在“C:Windows”目 录 下生成病毒程序，然后在“C:WindowsSystem32”目录中创建与之同名的DLL文件。当病毒EXE程序激活后，会将与之同名的DLL文件插入到“explorer.exe”进程中，之后自动终止该病毒EXE程 序，潜 伏 在“explorer.exe”中的病毒DLL模块就可以执行盗取数据，破坏正常文件等操作。

为了防止用户清理病毒，病毒不仅会在各磁盘根目录下 创 建“Autorun.inf”文件和病毒程序，让用户在双击磁盘时自动激活病毒外，还会在“C:Windows”和“C:WindowsSystem32”目录中创建“5abeb2609.exe”、“5abeb2609.dll”、“k0115114194.exe” 等 文件，用来创建上述病毒服务，当开机后病毒服务就会抢险加载运行，将病毒DLL模块插入到系统进程中，对病毒的活动进行全程保护。

注意：在不同的电脑上运行时，病毒创建的上述文件的名称可能会随机产生来逃避用户的检查。

了解了病毒的行为特点后，接下来就可以手工将其清除。为了便于观察病毒活动，运行了FileMon这款小巧强悍的监控程序，可以全面实时记录不同进程针对文件进行的添加、修改、删除等动作，用来监视病毒活动很有效。

在XueTr主界面中的“本工具配置”面板中勾选“禁止创建进程”和“禁止创建线程”项，禁止病毒启动非法进程。之后在“进程”面板中强制关闭所有非系统进程，包括“explorer.exe”进程，只留下系统基本进程，让系统可以正常运作。利用XueTr内置的注册表管理器，将注册表中和病毒相关的启动项逐一删除，经检测后发现病毒没有自动恢复删除的启动项，但是在XueTr中的服务列表中禁止病毒服务后，发现病毒服务又自动启动了。看来，一定有病毒程序在按照对其进行保护。

当使用XueTr自带的文件管理器删除上述病毒文件时，根据Filemon提供的监控信息，发现当删除各磁盘根目录下中的“Autorun.inf”和其它病毒文件后，这样文件又奇怪的自动恢复了，经过查看原来是“winlogon.exe”在暗中起作用，该进程不仅可以恢复病毒文件，而且可以自动执行病毒文件。在进程列表的右键菜单中点击“在下方显示模块窗口”项，在“Winlogon.exe”进程中果然发现病毒创建的DLL模块，其名称为随机产生的，这样即使在XueTr中将病毒文件删除，看起来似乎一切顺利，其实病毒暗中的保护机制会悄无声息地重新激活病毒文件，并从网上下载更多的恶意程序。

根据以上分析，我们大体掌握了该病毒的运行原理，当该病毒运行后，会先建立一个隐藏的病毒进程，之后创建病毒服务，并将病毒DLL模块插入到合法的系统进程中，对病毒的活动进行保护。当发现本机连上Internet后，病毒进程会每隔一段时间下载一个病毒木马程序，之后将其激活并运行。因为下载完所有的恶意程序需要一段时间，所以如果不仔细观察的话很容易被其蒙蔽，因为病毒下载的几乎都是DLL文件，当其运行后会在“C:Windows”和“C:WindowsSystem32”目录中创建同名的EXE文件和DLL文件，之后将原始的病毒DLL文件自删除。当所有的病毒木马全部系在完成并运行后，系统运行速度就会大受影响。病毒在彻底侵入系统后，会随机创建一个DLL文件，将其插入到“winlogon.exe”进程中，作用是潜伏在暗处对病毒的活动进行保护。因此，虽然在系统文件夹中出现了一大堆病毒文件，无法进行彻底的隐藏，难免会被用户发现。不过由于病毒存在保护机制，即使将病毒文件删除，其保护机制照样可以重新激活病毒，所以手工清除比较困难。

通过对病毒保护机制的分析可以看出，病毒是通过非法服务向“winlogon.exe”进程中注入病毒DLL模块，通过该模块，对各磁盘根目录下的病毒文件进行保护。保护的手法是每隔一定时间就会检测病毒文件是否存在，如果不存在的话就会自动重建病毒文件，并为其设置系统和隐藏属性，并将病毒服务设置为自动运行状态，让病毒服务可以顺利运作。

当然，病毒采取了创建隐形进程，让用户无法在任务管理器中发现其踪迹。以上种种保护手段，目的就是让用户无法顺利的将病毒清除出去。

洞悉了病毒的特点，清除起来就相对容易了，最简单的方法是进入安全模式，在其中使用XueTr等工具，关闭病毒服务，并在注册表中删除与该服务相关的信息，将病毒文件全部删除，或者进入WinPE模式，将全部的病毒文件全部清除，也可以在正常模式下清理这些可恶的病毒，方法是在桌面上建立名为“autorun.inf”的文件夹，之后将各磁盘根目录下的“autorun.inf”文件删除，并将该文件夹粘贴到各磁盘根目录下，并为“Autorun.inf”文件夹设置隐藏只读属性。

同理，创建名为“polycing.exe”的文件夹，将其各磁盘根目录下的“polycing.exe”病毒文件删除，并将“polycing.exe”的文件夹粘贴到各磁盘根目录下，并为之设置隐藏只读属性。按照同样的方法，将各磁盘根目录下的所有的病毒文件均进行删除，并创建与之同名的文件夹。这样，隐藏在“winlogon.exe”进程中的病毒模块就无法恢复病毒文件了。

在XueTr中选择“禁止创建进程”和“禁止创建线程”项。这样当关闭病毒进程后，即不怕病毒进程自动激活了。在XueTr的进程列表中关闭所有非系统进程，包括病毒创建的隐身进程，之后在XueTr中删除所有的病毒文件，卸载和删除插入到系统进程中的 DLL模块文件，清除和病毒有关的注册表项目，禁用病毒服务。建议按下机箱的关机按钮，再重启电脑，利用冷启动操作来彻底让病毒失去活力。也可以在XueTr的设置窗口中选择“强制重启”项，来安全的重启系统。

对于上述病毒服务，可以在XueTr的“服务”面板中点击“删除”按钮将其清除。也可以可以请出System Repair Engineer这款安全工具来清除，在其主界面左侧点击“启动项目”项，在右侧的“服务”面板中点击“Win 32服务应用程序”按钮，在服务列表中选择病毒服务，选择“删除服务”项的，点击“设置”按钮，就可以让病毒服务彻底消失。当清除了病毒文件后，重新进入系统，取消可移动设备的自动播放功能，之后将染毒优盘上的病毒文件全部清除。因为病毒已经将安装的某杀毒软件破坏，导致其无法正常运行，所以将该杀毒软件卸载后重新安装，即可恢复其活力。