昨天，朋友说他电脑中毒了，清除了，马上又有，让我帮看看，现象如下：

IE默认主页被修改为 www.3glele.com，并且IE的项被锁，再不能把默认主页改成其它的了。

注册表被锁住。

用了好几款清除软件，清除了，马上又有。

我一看，以为，它像其它的流氓软件一样，做了ring 0的监控。先找出来，什么程序，在什么时候启动的，然后保护它自己不被删除。记不住所有的windows自起动项，于是到www.sysinternals.com下载了Autorun，这个软件可以列出所以自启动项的信息，并分类显视。

发现HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls　指向了C:\windows\system32\msdll32.dll。系统默认在建立一个新进程的时候，除了加载必要的DLL外，还会自动加载该注册表项Appinit_dlls下所列表的每一个DLL。这个msdll32.dll被映射到了系统中的每一个进程中。能过流氓软件清楚工具打开注册表，把这一项删除试试，果然是它，删除后，立马又生成了。而msdll32.dll也删除不了。

于是要找出是哪个进程在删除之后，又写入注册表的那一项，那再次到www.sysinternals.com去下载 regmon，设好过滤，通过regmon看出：是Explorer写入的，最最恶心的是，竟然每隔一秒左右时间，explorer会查询一下注册表中是不是有这一项，如果没有，就建立！！我的天，它居然用这各严重影响性能的轮询方式，于是想到，很可能是因为，explorer起动的时候加载了Appinit_dlls下指定的DLL，那个msdll32.dll不断的查询注册表，从而保护这个启动项。

于是用起动盘启动，进控制台（进安全模式也是不能删除的，它同样会加载），删除了C:\windows\system32\下的msdll32.dll，考滤到有可能还会有其它的程序会保护它，在系统启动的时候，有可能会检查这个文件以及注册表相关的信息，还在不在，不在的话，就马上生成。我就先替它生成一个吧，echo fuck 3glele > msdll32.dll，attrib +r  msdll32.dll。这样，它就算检查这个文件，还是在的，如果，它要生成的话，因为这个文件是只读的，也不能顺利的生成，不过对于考滤得周全的程序来说，这也起不了什么作用，管它呢，先试一试吧。

重启之后，弹出了N多对话框，说是XXX进程不能加载C:\windows\system32\msdll32.dll，之后删除AppInit_DLLs下的值，再次用Filemon观查，没有对该项的查询了。看来已经差不多了，开始高估了它，不知道还有多少垃圾文件留在系统中了。

3glele太恶心了，它改IE默认主页，无非就是想增加点击次数吧，如果，它仅仅是改改主页，很多普通用户也不会把它怎么，可是它自己水平有限，竟然弄出个每秒轮询来保护这自己不被删除，严重影响系统性能。