手动删除Trojan系列木马

Trojan系列木马变种异常多而变态，昨天一师姐说她中木马了卡巴无法彻底删除，于是俺就去看，发现连PowerRMV也对它无可奈何。后来摸索着弄清了这木马如此BT的原因——虚拟设备技术。

以师姐中的木马程序 Trojan-Downloader.Win32.Hmir.fo为例，手动删除这种BT木马。

所需软件：SREng，Unlocker，IceSword

解决步骤：

1.SREng扫描系统，发现可疑文件c:\windows\System32\DRIVERS\gu3u1hy.sys和C:\WINDOWS\system32\w0xrj.dll（若不用扫描，直接看卡巴的报告也可以。）
2.找到C:\WINDOWS\system32\w0xrj.dll这个文件，右键点击它，选中“Unlocker”，在弹出的对话框的左下角选中“删除”然后按“全部解锁”。
3.清空回收站
4.桌面“我的电脑”－右键属性－硬件－设备管理器－查看－显示隐藏的设备，找到那个gu3u1hy的设备，卸载了它。
5.打开IceSword，点左下角“文件”，一路点选c:\windows\System32\DRIVERS\gu3u1hy.sys，右键，强制删除。
6.同样是IceSword，点击“注册表”，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset003(或002)\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下找到以gu3u1hy.sys(就是以杀毒软件查到的病毒文件)命名的项，点右键删除
7.找到注册表HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_gu3u1hy.sys，点右键删除此项。