一、概述
   近来中了piaoxue.com和feixue.com招的用户很多，一直在想办法收集样本，今天终于下载了一个病毒包，里面有七八个流氓软件，其中有一个就是飘雪（现在流氓软件服务真好，买一送十）。以身试毒，把常有的武器都用上了，基本把它的思路分析清楚了。

二、过程分析
    程序安装的时候，会首先检查有没有安装（HKLM\SOWFTWARE\Microsoft\Internet Explorer \SearchPlugInX），如果安装过了，就直接退出。所以可以根据这一点来免疫。
    接着检查是否安装了虚拟机（通过检查HKLM\Software\VMware,Inc.\VMware Tools值），如果安装了，则直接退出。这点主要是防范系统调试人员，如果在虚拟机上安装，就退出。看来paoxue的作者真是用心良苦啊! 不过我一向都不使用虚拟机，呵呵。
    它没有采用BHO这种流氓也容易被杀的方式，通过随机生成一个驱动，安装驱动到（%system%\system32\drivers目录下。我安装的过程生成的eugnxqcx.sys和wllcnlke.sys。
   
    驱动加载后，通过生成两个线程附加到system这个系统核心进程上，获取最高权限。
    通过Process Explorer可以查看到这两个线程：

             
       
       这两个线程一直不住地检查注册表（HKLM\SYSTEM\CurrentControlSet\Services\）下自己这个驱动的值，如果删除马上又会生成。这两个线程虽然看到但是没有办法杀掉，会提示没有权限。另外用冰刃（IceSword）这个工具也可以看到，但是杀不掉。。汗。。。

      

          

      看来它的驱动保护做的还是不错的，难以杀掉的原因是对文件以及进程都做了保护。我介绍的《顽固文件删除终极武器》，用金山文件粉碎器，打开的时候提示无法打开文件。很少会遇到的一种情况。
 
       因为驱动是属于Boot Bus Extender组的，在操作系统加载时就会被加载，所以即使安全模式下也会加载，所以到安全模式下删除也是无效的。

      看得出来飘雪为了防范目前的杀流氓软件工具，下了不少的工夫，已经试验过的多种工具无效：
      IceSword删除驱动文件无效，Procexp，IS中止进程无效，金山文件粉碎器删除文件无效（而这几个是我前不久在试不爽的，还大力推荐的。。。faint..）

      不过魔高一尺，道高一丈，知道了原理和过程之后，离解决也不会太远，，下面介绍一下杀它的办法（亲自试验，不需要重启，力求简单，菜鸟也可以操作）

三、清除办法：
  
  1、找出驱动来
    用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护
》，我们今天就来实战一下。运行autoruns之后，在它的“Options(选项）”菜单中有两项“Verifiy Code Signatures（验证代码签名）“Hide Signed Microsoft Entries（隐藏已签名的微软项）“，把这两项都选中了。扫描之后，我们只看驱动（driver）这一项：

    可以看出来，它是假冒微软的驱动。这个驱动虽然写明是微软的，但是没有经过微软的数字签名，所以肯定是假的。（可能你的机器上显示特别多，但所有非微软的，都是有问题的），因为是随机生成的文件名，所以你那里找出来的，可能跟我的不一样。请自己记下文件名。特征是8位随机的字母，并且公司是微软公司，但是显示（Not verified)，如果你这里不能确认，可以用下面的办法。

2、用procexp找出驱动名来
   运行procexp,（下载地址见最后），找到system这个进程，然后点右键——属性（Properties）——线程（Threads），然后把下面的框子拉到最后，看有连续两个，比较无规则的八个字母的驱动，再跟autoruns对一下就可以确定是哪个驱动了。（见第一张图）

3、删除文件
    因为文件有驱动保护，这里虽然找到线程的名字，但是无论是Procexp还是IceSword都无法中止这个线程（如果你有好的办法，麻烦告诉我一下，谢谢）。另外本人写的文章里面的关于删除顽固文件的，对付这种有意防范的，也是无效的。经过亲自试验，目前有两个办法可以删除这个文件：
   
     方法一：用Unlocker（下载地址及使用方法见最后的文章）
     找到c:\windows\system32\drivers目录下，找到刚才的那个驱动文件，点右键——Unlocker，然后在出来的对话框中，也会显示有一个sytem进程占用了，点那个“Unlock“。然后再在文件上Unlocker一下，这时显示已经没有其它进程在使用这个文件，用它的Delete功能，点确定便可。这样文件便删除了。   

      方法二：还是用Procexp

      在Procexp中，先按Ctrl+H,切换到Handler视图，然后按Ctrl+F，查找，输入刚才的驱动名字（可以只输入前几个字母），然后就可以看到在system这个进程中有一个文件，在那个上面点右键——Close Handle便可。然后再用资源管理器找到那个文件，删除便可。   

     我相信如果paoxue的作者看到这篇文章，可能会做一些升级或者改变，使上面的方法无效（因为它明显已经针对IceSword这几个出名的软件做了防范），但是万变不离其宗，如果那个时候，就先用autoruns/procexp找到相关的驱动文件，然后安装一个虚拟软驱，到DOS下去删除这个文件，那个是最后终极的办法。
     
    我写这篇文章，主要针对一些新手，所以尽量不要重启以及做复杂的操作。

     删除上面的.sys文件之后，为了安全起见，重启一下，然后再重新设一下IE的主页，应该就可以了。至于那个Seriver的值，删不删都无所谓了。

四、其它
   针对飘雪的免疫办法：
   在HKLM\SOWFTWARE\Microsoft\Internet Explorer下建立一个SearchPlugInX的DWORD值，然后任意输入一个值，这样飘雪就不会再安装了。

   如果上面的方法无效，请与我联系，可能会有升级的版本。但是以上介绍的所有办法，在我的文章都已经提到了。流氓软件横行年代，自己都得学会一点保身之术，呵呵。