下载安装Pchunter

打开Pchunter，查看进程列表，按文件厂商排列，重点关注蓝色或红色项目，以及路径不正常的。通过文件厂商，百度搜索，查看文件数字签名，上传virscan扫描等方法判断是否病毒。

如上图，一下子找到temp目录的可疑进程gameck.exe。百度搜索无果，文件无数字签名。上传virscan扫描。

注意上面瑞星的报毒名，qq密码偷窃者的意思。确认病毒无疑，这个估计就是自动发垃圾广告说说元凶。
可惜本例中只删除这个gameck.exe并不能解决问题，重启后又会自动生成，怀疑有母体。
回到Pchunter，检查驱动，同样按文件厂商排列，观察红色和蓝色项目。


从上图看，蓝色项目正常，没发现问题。
切换到内核，系统回调，重点观察shutdown（关机回调）、cmpcallback（注册表回调）、createprocess（进程回调）、loadimage（映象回调），具体百度。
很快可以定位到异常项：

伪装成Microsoft系统文件了。回到驱动模块选项卡，按文件名排列，看到了可疑文件

右击查看驱动文件属性，发现描述居然是ACPI.sys

看下数字签名，居然是正常的系统签名，怀疑访问属性被重定向到acpi.sys（作死的在pchunter里删除了这个驱动，结果重启tcpip.sys丢失）

发现驱动木马后，正确的做法是，安装PE到系统上（如微PE），重启进PE备份删除该文件（为了防止误删，一定要先备份！）。




下面介绍Pchunter里直接删除驱动木马的方法（不推荐！！！）
内核选项卡，系统回调里，删除驱动木马所有相关的回调。

切换到文件系统选项卡，微端口过滤器，右击移除驱动木马过滤器

回到驱动模块选项卡，右击查看驱动文件属性

可以看到文件属性已经恢复正常了，上海域联的数字签名，驱动木马常用。这时可以删除木马文件和注册表了。

最后，右击卸载驱动，至此病毒成功移除。
安装杀毒软件全盘扫描接口（至少扫描C盘）。用杀软扫描收尾是必要的，手杀并不能解决系统文件替换、程序被感染、利用系统dll搜索顺序传播的dll蠕虫等.而这些是杀毒软件擅长的,手杀只能清理病毒的启动项，如：

只要病毒不开机启动了，重启病毒就不会运行。

遇上Pchunter无法加载驱动的情况，可以使用同类工具火绒剑（火绒安全，扩展工具）

打开后，查看进程，按公司名排列，一下子定位到可疑进程gameck.exe。


上面看到了一堆浏览器进程名，以及被劫持的主页。下面查看内核通知（Pchunter里的系统回调），发现可疑项：

至此，可以进PE里备份删除文件了。备份后，删错了也不怕，可以再进PE还原。
某些情况下，内核通知可能无法显示，可以查看内核模块钩子，发现可疑项：

然后进PE，利用PE开始菜单的文件搜索工具搜索文件名，一般在drivers目录。找到后备份删除。

驱动木马，运行在ring0层，不比ring3的木马进程，注册表木马启动项，木马服务等，可以随便删。
ring0层的操作要格外小心，轻则蓝屏，重则系统崩溃无法进系统。
如本例，直接强删木马文件，会导致系统驱动acpi.sys被删从而进不了系统。
删除木马驱动过程，可能触发木马主动反抗，破坏系统。
PE下，木马驱动失活，可以随便删。而且可以提前备份，出问题后还原。

该病毒新版本特征，有pclu.exe进程，mini.lohaslady最热搜弹窗。