网友问题：我的主页被www.my123.com改了．怎么也改不过来．帮忙解答下．谢谢（问题引用地址www.45its.com/mianfeiliuyanban/index.asp?user=jinjunhe  读者NO.861号！）

        电脑软硬件应用网站长回答：经网友提供日志等分析该恶意网站的该病毒有驱动保护，手动几乎不可能，非常顽固，网友推荐说Windows清理助手能够成功清除，经过站长测试最终Windows清理助手能够成功清理。该软件下载地址：http://www.arswp.com/download/arswp/arswp.rar 

11/13

今天发现了另一个可以清除该恶意网站的专杀。下载地址：http://dl.360safe.com/MY123Killer2.rar

        电脑软硬件应用网站长的建议：如果以上步骤无法为你解决问题请在正常模式用HijackThis扫描一份日志到我的邮箱我给你处理。邮件地址：jinjunhe@21cn.com，主题千万注明电脑门诊多少号读者。不然可能会当垃圾邮件拒收！提示：以上提到的软件到各大下载站搜索都可以找到并下载！

现在给出病毒的基本特征

病毒的核心部分是一个驱动程序
该驱动程序是随机文件名的.sys文件
疑似是之前piaoxue驱动的修正版
该驱动会在操作系统加载时作为System Bus Extend驱动加载

然后 会将自身以独占方式打开，导致任何Windows下程序也无法读写及删除它

系统启动后，驱动开始分多个模块工作（分别建立多个线程）

1.服务保护模块:该模块会检测驱动自身的注册表服务项，不停地暴力重写自身服务项，使得无法删除其服务项

2.自身文件独占及句柄检测保护模块等:
会将自身文件以独占方式打开，这样若不解除独占，任何windows下使用常规访问文件方法的程序包括杀毒软件都无法读写或者删除它的驱动程序文件

文件句柄检测保护模块则是为了针对之前我的piaoxue类专杀而进行的保护
之前我的专杀会强制解除piaoxue类驱动对自身文件的独占，从而将其清除
但该驱动增加了这个保护，会不停检测自身文件的独占是否被强制解除，如果检测到，立即再次独占

也就是说　11月开始，该流氓早已在大量用户的机器上潜伏下来
（去看了下各个可能感染源的连接，每个都有数百万乃至数千万的下载量，有些更是在一些知名的下载网站上）
然后一直不发作，等到11日，就会突然发作，造成“my123流氓不明原因大面积爆发”的现象，既使反流氓组织措手不及，又使得查出流氓感染源变得困难重重