三、手工清除办法（适合目前有一定操作技能的用户）
     清除了这个流氓的手段，就可以针对来找一些清除办法了。当然，比起上一次的飘雪来，困难了许多。

  1、找出驱动
    要杀流氓软件的第一步，就是要找出流氓软件，可以有多种办法找出这个流氓软件。
     用到我以前写的一篇文章《釜底抽薪:用autoruns揪出流氓软件的驱动保护》，我们今天就来实战一下。运行autoruns之后，在它的“Options(选项）”菜单中有两项“Verifiy Code Signatures（验证代码签名）“Hide Signed Microsoft Entries（隐藏已签名的微软项）“，把这两项都选中了。扫描之后，我们只看驱动（driver）这一项：

    可以看出来，它是假冒微软的驱动。这个驱动虽然写明是微软的，但是没有经过微软的数字签名，所以肯定是假的。（可能你的机器上显示特别多，但所有非微软的，都是有问题的），因为是随机生成的文件名，所以你那里找出来的，可能跟我的不一样。请自己记下文件名。特征是8位随机的字母，并且公司是微软公司，但是显示(Not verified)，如果你这里不能确认，可以用下面的办法。

2、用procexp找出驱动名来 
     运行procexp,（下载地址见最后），找到system这个进程，然后点右键——属性（Properties）——线程（Threads），然后把下面的框子拉到最后，看有连续三个，比较无规则的八个字母的驱动，再跟autoruns对一下就可以确定是哪个驱动了。（见第一张图）

3、删除驱动.sys
   
   打开c:\windows\sytem32\drivers目录，由于这个.sys驱动文件把自己设为系统、隐藏，所以需要打开文件夹的显示系统文件的选项才能看到。（你也可以用这个办法来找到驱动，一般的正常驱动都不会想着隐藏自己的）。

     在那个驱动文件上点右键，然后——Unlocker——会出来一个对话框，显示当前已经使用这个.sys的进程，点“Unlock“，然后再Unlocker一下......显示文件已经被删除了。。。。。以为大功告成了。
    
    但是紧接着怪事就出事了，刷新一下，发觉这个文件又出现了！百思不得其解，已经确认所有的后台服务都是正常的，那个.dll也已经被删除了....这个问题困扰了许久，又拿出驱动好好研究了一下，终于发觉这个极其变态的办法——一个正常的人是不可能把写出这样的驱动的!

   它注册了一个NotifyRoutine的一个回调函数，这个是一个自我修复的功能，只要系统任何进程或线程打开，它马上会调用，检查文件如果被删了就立即从内存中自动恢复！显然是针对上一次飘雪的那个手工专杀或者清除办法做的一次改进，正常办法根本不可能删掉。

    用unlocker的确是把文件删除了，但是没有办法不启动其它进程或者线程啊，即使马上选择关机，它也会新建线程，这个时候它也马上可能恢复了。。。。难道只能用最后一招：DOS大法？？？真很不甘心啊....&%$#@!&*()_+

    也不知怎么了,突然灵光一线,想到一个绝招:断电法！就是:删除之后,马上不做任何操作,直接按机器电源键重启!经实验是成功的,OK...followed me...

    清除之前,我们先要停止那三个system中的线程,那个会不停地自动检测,打开procexp,然后在system上点右键---属性---线程， 点一下Start Address,这样可以按字母排序，找到刚才我们看到的驱动，三个连续在一起。点一下线程，然后点那个“Suspend“按钮，将这个线程暂停。（它做了自我保护，杀不掉的，只能暂停）。

   确保停止线程之后，这个按钮都变成“Resume(暂停)”，三个线程全部暂停之后，打开c:\windows\system32\drivers目录，右键点那个.sys驱动---unlocker。

第一次先unlock那个System的句柄占用。第二次再unlocker，这个时候就会出来一个对话框：

   这时注意了：

   一手将鼠标移动OK对话框中，一手找到机器的RESET键（请确保这个键有效，直接断电对机器有损伤），在按下鼠标之后，一看到那个删除OK的提示之后，马上按下RESET键，直接重启机器（如果是笔记本，就先把电池拿了，直接断电）。这个办法讲究眼急手快，如果无效再试一次。

    按我的经验，两秒之后按下RESET键都是有效的（杀这个东西真不容易，再次诅咒一个写出这么变态驱动的人来）。

3、删除.dll
     当失去驱动保护之后，这个DLL也就肉鸡了，要杀要剐全凭你喜欢了。你放在那里不管也无所谓。它隐藏得也很深，没有在注册表的启动组里面表现出来。360出的专杀，只能杀MY123的前两代，对于这个第三代，目前为止还不能清除，只能清除.dll。所以有时开机之后会显示加载DLL失败：

   这个是由那个该死的驱动去加载的，所以找注册表是没有用的。

   重启之后，再重新设一下IE的主页，应该就可以了。至于那个Seriver的值，删不删都无所谓了。

(责任编辑：韩建光)