最近，关注病毒市场的朋友应该发现许多网友在提问QQjiji是怎么一回事。怎么杀不掉，怎么卡巴斯基起动不起来等等。笔者有曾经历这样的经历，现在把它写下来，介绍了互联网新的营销手法。 笔者怎么会中QQjiji的木马呢？原因了笔者原来装了一个软件，这个软件提示有最新的更新包要安装，笔者安装了更新包以后，被人中木马在机子上了。安装一个QQjiji的程序,在c:/program file/common file/system下面。这个QQjiji做什么事呢？第一,经常模仿QQ官方网站的弹出中奖信息，用让户去点，然后进行诈骗活动。第二，强制让你电脑的杀毒软件起动不了，如卡巴斯基,这样，你就没有办法查杀他们。 笔者始终认为，赚钱要走阳光大道，不要出偏门的方法，而这个公司的这种营销手法在我的眼中我始终觉得有点损，幸好我本身就是计算机的高手，这种小病毒对于我来说，我肯定能把它给杀掉，但是，对于广大的用户来说，却是很难。因此，有许多台电脑成为肉鸡。不知不觉中，该网站不但赚足了流量和知名度，也赚钱了人民币。 总终，流氓年年有，今天特别多，互联网营销手法的不断变化，流氓营销也不断涌现，你的电脑准备好了吗？

第一步： 　　由于“LPK劫持者”木马在系统目录下都恶意添加了“lpk.dll”劫持，造成了运行某些系统工具都有可能程序释放“LPK劫持者”木马。例如在“C:\WINDOWS”系统目录下就恶意添加了木马动态链接库程序“lpk.dll”，所以默认随机启动运行的“explorer.exe”就会重新释放“LPK劫持者”木马，可以说“explorer.exe”反面上来讲也就变成了“LPK劫持者”木马的开机启动项。系统程序“explorer.exe”只是一个例子，如果受害者的计算机设置了多款应用软件随机自动运行，那么这些应用软件反面上来讲就都成了“LPK劫持者”木马的开机启动项。 　　这怎么办？不用怕，微软提供了指定“DLL劫持”的防范措施。 　　开始菜单—–运行 输入：“regedit.exe”（双引号去掉），调出“注册表编辑器”。依次展开至分支“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”，可以看到子项“KnownDLLs”分支下有多个系统动态链接库程序。 　　鼠标右键子项“KnownDLLs”菜单中选择“新建(N)”—–“字符串值(S)”，将其命名为“lpk”，“数值数据”设置为“lpk.dll”，确定。 　　退出“注册表编辑器”，务必重启一下计算机。 　　这样，一些需要加载“lpk.dll”的应用程序运行时会从系统目录下查找“lpk.dll”并加载，而不再会因为 Windows 操作系统 DLL动态链接库程序的加载顺序从当前目录下查找“lpk.dll”并加载了。 　　利用这个方法也可以防止其它“.dll”动态链接库程序遭“DLL劫持”！例如2009年初发现的“猫癣”木马同2010年末发现的“LPK劫持者”木马的行为一样，只不过该木马是全盘劫持动态链接库程序“usp10.dll”，导致当初重装系统也无法解决“猫癣”木马。为了防止“猫癣”木马通过全盘劫持“usp10.dll”死灰复燃，可以在注册表分支“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”下添加一个名称为“usp10.dll”的键值项。 PS： 　　采用内核 Windows NT 5.1 系列的操作系统默认情况下只有少数关键的“.dll”系统动态链接库程序在此子项下，而自从 Windows Vista 操作系统下采用 NT 6.1 内核的 Windows 7.0 操作系统下面此子项已经相当齐全，所以在 Windows 7.0 操作系统下发生“DLL劫持”的概率要比 Windows NT/2000/XP 操作系统下要小很多。 　　如图，这是 Windows 7.0 操作系统的注册表分支“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”右侧窗口截图。 第二步： 　　按“Ctrl + Alt + Del”键调出“任务管理器”，在里面结束“fwpfsp.exe”（不存在就跳过此步骤）和“hrl.tmp”一系列的木马进程，“”代表数字。 第三步： 　　使用《超级兔子》或者《Windows 优化大师》清理系统临时文件，主要目的是一键删除“LPK劫持者”木马在用户临时文件“C:\Documents and Settings\Administrator（受害者的用户名）\Local Settings\Temp”目录下创建的所有名称为“hrl.tmp”的一系列木马程序，“”代表数字。 　　删除“C:\WINDOWS\system32”系统目录下的木马主体程序“fwpfsp.exe”。 　　删除木马服务项，开始菜单—–运行 输入：“regedit.exe”（双引号去掉），调出“注册表编辑器”。依次展开至“HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Enum\Root”分支下面找到名称为“LEGACYNATIONALKDU”的子项，鼠标右键子项“LEGACYNATIONALKDU”菜单中选择“删除(D)”。这时，删除子项“LEGACY_NATIONALKDU”会弹出“删除项时出错”的对话框。 [...]

先看下csrss.exe进程的说明： 　　进程文件：csrss or csrss.exe 　　进程名称：Client/Server Runtime Server Subsystem 　　进程类别：系统进程 　　进程描述：客户端服务子系统，用以控制Windows图形相关子系统。 　　csrss.exe病毒按病毒分类属于蠕虫病毒，它会以csrss.exe为文件名拷贝自己的副本文件到Windows目录下，并添加下面的注册表键值，以便每次Windows启动蠕虫会自动运行：HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemSARS32, with value “C:\WINNT\csrss.EXE”。 　　好了，了解完它的背景，该来对付这个小东西了 　　方法一： 　　第一步，结束病毒进程csrss.exe，注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。 　　第二步，找到以下文件并删除(这些文件并非都有，可能只有几个，但只要有，就删!) 　　>> System\dxdiag.com 　　>> System\finder.com 　　>> System\msconfig.com 　　>> C:\autorun.inf 　　>> Programfiles\Internet Explorer\iexplore.com 　　>> Programfiles\Common Files\iexplore.pif 　　>> Windows\1.com 　　>> Windows\csrss.exe 　　>> Windows\ExERoute.exe 　　>> Windows\explorer1.com 　　>> Windows\finder.com 　　>> Windows\Debug\DebugProgram.exe 　　>> system\command.pif 　　>> System egedit.com 　　>> System undll32.com 　　同时查看“开始”—“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink，删! 　　第三步，打开注册表编辑器： 　　(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息，把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe” [...]