引言：最近当笔者使用IE上网冲浪时，当打开某个网站后，IE莫名其妙的自动关闭了。当笔者再次打开IE时，发现自动进入一个内容很杂乱的站点，毫无疑问主页被恶意修改了。

最近当笔者使用IE上网冲浪时，当打开某个网站后，IE莫名其妙的自动关闭了。当笔者再次打开IE时，发现自动进入一个内容很杂乱的站点，毫无疑问主页被恶意修改了。而且系统运行速度变得很慢，看来一定是误入了恶意网站，招来了不法程序的攻击。笔者重启电脑，发现系统运行速度变得很卡，在没有联网的情况下打开IE，之后在任务管理器中看到IE进程的高达100%，看来，一定是隐藏在IE背后病毒木马等恶意程序在捣乱。但是，运行笔者安装的某款免费杀软，对系统进行扫描检测后，却没有发现病毒的踪迹。不难看出，这要么是免费杀软不给力，要么是遇到了新型或者免杀性的病毒。没办法，只有自己动手，和病毒进行正面交锋了。

在任务管理器中仔细查看进程信息，没有发现可疑进程，看来或者是病毒隐藏了进程信息，或者是病毒没有将自身文件添加到常规启动项中。因为在没有上网的情况下，运行IE都会出现问题，病毒很可能将自身变成系统服务，或者伪装成驱动文件，来获得更高级别的运行权。运行“msconfig”程序，在系统配置实用程序窗口中的“服务”面板中勾选“隐藏所有的Microsoft服务”项，只显示所有非系统服务。果然发现一个名为“Network Update Service”服务很可疑，因为从表面上看起来这似乎是和系统网络配置相关的服务，但实际上系统根本没有此类服务。

运行“services.msc”程序，在服务管理器中双击该服务，在起属性窗口中发现其服务名称为“wmidxsvc”，描述信息为“这是和系统网络配置相关的项目，用来设定网关参数，以及为网络共享服务提供便利，如果此服务被禁用，任何依赖它的服务将无法启动。”毫无疑问，这就是病毒创建的服务，虚假的描述信息只是在欲盖弥彰罢了。笔者决定顺藤摸瓜，将不法程序一网打尽。选中该子健，在右侧窗口中的“ImagePath”项中发现与其关联的程序路 径 为“%SystemRoot%System32wexpent32”。 先在文件夹选项窗口中选择“显示所有文件和文件夹”项，同时取消“隐藏受保护的操作系统文件”项，这样可以轻松显示所有的隐藏文件。 进 入“C:WindowsSystem32”文件夹，在其中按照创建日期排序，让所有新文件显示在前列。因为病毒创建的文件一般日期较新，很容易查找出来。

但是，该文件并没有立即现身。笔者觉得有些奇怪，难道起彻底隐形了不成？经过按照名称顺序细致查找，才发现了该文件，原来其创建日期为2009年7月14日星期二上午7:25:06。和普通的系统文件创建日志完全相同，怪不得无法将其按照创建日期排序出来。看来，要么该文件就是系统自带的文件，要么是病毒将自身文件的创建日期进行了刻意修改，来实现鱼目混珠的目的。基于这些考虑，笔者没有冒然删除该文件。考虑到病毒也许会冒充驱动程序，从底层侵入系统，笔者决定对驱动文件进行一番 检 查。Windows的 所有驱动文件默认都存放在“C:WindowsSystem32drivers”文件夹中，因为里面文件很多，无法准确判断其真伪。

因为系统采用的Ghost备份文件安装的，原始的Gho文件就存放在硬盘中，运行Ghost Explorer这款软件，在其主界面中点击菜单“文件”-“打开”项，选择目标Gho文件，可以显示其中包含的完整的系统文件信息，打开其中的之后打开其中的“C:WindowsSystem32drivers”，按 照创建时间的顺序对两者的驱动文件信息进行比对分析，很快就发现了名为“nxwmdrv32.sys”的文件极为可疑。查看该文件的属性，发现其创建的日期为2012年12月7日。这和面提到的“wexpent32”文件的日期并不一致，主要原因笔者系统采用的是Ghost安装方式，驱动文件是由系统提供的“drive.cab”压缩解压后创建的，而“%SystemRoot%System32”中文件是Ghost安装文件制作者在制作发布时创建的，二者之间并不完全一致。病毒入侵后，在创建非法文件时，会判断不同文件夹中原始文件的创建日期信息，然后将自身文件的创建日期进行修改，来实现混迹于其间的目的。

在注册表编辑器中点 击“Ctrl+F”键，搜 索“nxwmdrv32.sys” 字 符串，在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下找到了名为“nxsio32”的子健，在窗口右侧的“ImagePath”栏中发现了该文件的踪迹。根据以上信息，可以判断这是病毒伪造的驱动文件，为的是获得高级别的运行权，从系统底部侵入，这样可以有效避开杀软的监控。在“HKEY_LOCAL_MACHINESYSTEMControlSet001Services”分支下下还发现了“wmidxsvc”子健，其内容和上面提到的可疑服务完全一致。笔者将上述“nxsio32”和“wmidxsvc”删 除。 考虑到“nxwmdrv32.sys”和“wexpent32”文件的创建时间不一致，但是同属一个“派系”，在驱动文件夹中是否存在和“wexpent32”文件创建日期相同的其他可疑文件呢？因为驱动文件一般都带有数字签名，于是笔者以“wexpent32”文件创建日期基准，在驱动文件夹中查找与之日期相同的文件，找到几个符合条件的文件后，逐个查看其数字签名信息。虽然病毒文件也会为找数字签名，不过难免存在马脚。经过仔细排查，果然发现名为“vrddnj.sys”的驱动文件数字签名漏洞百出，例如没有版本和公司信息等内容。在注册表编辑器中搜索“vrddnj.sys”字符 串，在“KEY_LOCAL_MACHINESYSTEMCurrent Control SetServices”分支下找到名为“vrdnj”的子健，在其右侧的“ImagePath”栏中显示了该文件的具体路径。看来，这也是病毒伪造驱动程序文件。

根据以上分析，将注册表中和病毒相关的键值全部删除，然后重启系统，进入安全模式，先关闭系统还原功能，因为病毒喜欢藏身到各磁盘根目录下的“System Volume Information”文件夹中，来逃避追捕。之后删除上述所有和病毒相关的文件，当删除“vrddnj.sys”文件时，系统弹出警告信息，提示该文件正在使用无法删除。运行注册表编辑器，查找和“vrddnj.sys”相关的所有项目，果然 在“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ”，“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ000”，“HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_VRDNJ000Control”等路径中都发现了和“vrddnj.sys”相关的数据。当删除这些键值市，出现无法删除的提示，一定是病毒对其设置了禁止访问的权限所致。在对应子健的右键菜单上点击“权限”项，在弹出窗口中点击“添加”按钮，将当前账户添加进来，并赋予去完全控制的权限。之后才将其彻底删除。因为“vrddnj.sys”文件已经加载到内存中，所有无法直接删除。

为了稳妥起见，针对上述病毒文件，在注册表中又进行了一番彻底的搜索，确定没有留下什么痕迹信息。之后在开始运行中输入“%temp%”，回车后打开临时文件夹，将其中的临时文件全部删除，又启动安装的某款安全软件，清扫了所有的垃圾文件，如果有病毒残余藏身到临时文件或者缓存文件夹的话，最好将其彻底扫除。为了防止病毒在系统文件夹留有残余文件，笔者对系统文件夹进行了一番检查，果然在“C:WindowsSystem32Web”文件夹中发现了“pndxpi32.dll”，“jdsthuldrv.exe” 文件，在确认是病毒文件后将去清除。在“C:WindowsSystem”文件夹中发现名为“advport.dll”的文件没有具体的开发者信息，估计和病毒存在关联，将其删除即可。

但是当笔者重启电脑进入安全模式，试图删除“vrddnj.sys”文 件 时，系统弹出无法删除的提示信息。在注册表编辑器中查找“vrddnj.sys”字符串，发现与其相关的项目又自动恢复了。这是为什么呢？其实道理很简单，驱动文件有很高的运行权，在系统启动会自动加载到内存中，当关机重启时内存中的驱动文件会回写到源文件中，这样该文件就自动恢复注册表设置信息。了解这一点后，笔者在开始运行栏中执行“shutdown -t”命令，执行快速关机动作，让被病毒驱动文件无法执行回写操作。再次进入安全模式，按照上述方法成功清除了“vrddnj.sys”，并删除了其在注册表中的相关信息。之后重启系统进入正常模式，拨号上网后，IE终于恢复正常了。