超越机器狗的NS下载器，这个东东变化很快，主要是做免杀处理。同时，下载的木马列表也在不断更新。比较疯狂的是，下午在我两个不同时段的染毒测试中，竟然下载了不同种类的木马，足见黑客产业链的疯狂程度。 　　昨天提到过那个很可能超越机器狗的NS下载器，这个东东变化很快，主要是做免杀处理。同时，下载的木马列表也在不断更新。比较疯狂的是，下午在我两个不同时段的染毒测试中，竟然下载了不同种类的木马，足见黑客产业链的疯狂程度。　　其实处理的过程还不太复杂，这里要感谢我的伙伴——急救箱，基本上不需要我花很多功夫去手工处理了，相信急救箱也会成为各位的好伙伴。　　现把我的测试结果描述如下，和各位网友交流。　　测试环境：　　XP虚拟机，仅安装清理专家2.6和急救箱，因为这个病毒会发起ARP攻击，为了避免我的测试影响周围的同事上网，我安装了毒霸的ARP防火墙，这三个工具均升级到最新版本。　　运行病毒样本explorer.exe后，很快发现这个EXE自杀了。此时，双击清理专家已经发现无法执行。　　大约1分钟左右，可以观察到ARP防火墙拦截的结果让人吃惊，我想如果没有ARP防火墙的保护，周围应该有机器断网了。 　　病毒疯狂修改系统注册表信息 　　再等待3-5分钟，让这个木马下载器充分完成下载。这时候就可以让急救箱工作了，因为这个病毒修改系统注册表信息相当疯狂，急救箱扫描的时间远比一般的木马要长很多，在我的虚拟机环境大约耗时3分钟完成。 　　 　　立即重启电脑，重启之后我担心不够彻底，这次启动清理专家成功了，这个木马下载器下载了太多的恶意软件，虽说用急救箱和粉碎器删除了这些文件，但在其它位置的修改一一手工操作的话，就太慢了，我直接用清理专家又清除了10多个恶意软件。 　　 急救箱发现200多处危险加载点，可以查看详情 直接点击重启 　　重启完成后，双击清理专家，还是无法运行，看来急救箱还没有完美解决。那就试下清理专家的百宝箱，新版百宝箱是个独立的模块，可以直接执行清理专家目录下的KBOX.EXE。 使用进程管理器，勾上显示加载到进程中的DLL，再点击“找出存在风险的进程”，这个功能超好用。发现了很多HB开头的dll文件，当然远不止这些，索性直接在这些有风险的模块上点击右键，再点击“定位文件”，跳到windowssystem32文件 夹，再按时间排序，把与hb**.dll文件几乎同时创建的这些乱78糟的文件全部选中。 　　另启动百宝箱的文件粉碎器，把上面这些乱78糟的文件全部拖到粉碎器的窗口，然后一次全部删除。