关于 www.6700.cn病毒的查杀与感想

这个病毒每次都修改主页，而且装了诺顿，金山，360，黄山，瑞星（我想卡巴肯定也不行吧）都删除不

掉，同样试过从注册表里面删，删完之后好了，重启一下就恢复原样了。
我想肯定是要手工删除了，但首先要找到病毒源。在网上猛google了一下，可以在“非即插即用驱动程序

”里看到一些隐藏的驱动程序。一些流氓软件、恶意程序、病毒往往隐藏在这里。
通过查询，果然看到很多不同寻常的命名，找到两个qdrcd，gykvxbgrja这两个，看起来是随机生成的名字，禁用之后，果然好了。

下面是一些系统的驱动程序，可以对照着查询：

<不同的Windows系统,显示的的名称不同.有的是显示括号里的内容>

atapi -- 标准 IDE/ESDI 硬盘控制器
Arp1394 (1394 ARP 客户端协议) -- 1394是一个数据传输的数字接口，支持“热插拔”
AFD 网络支持环境 -- TCP/IP NetBIOS Helper Service 和 QOS RSVP 等网络服务依赖于此服务运行。
athome(http secure manager) -- 超文本传输协议
beep -- 主板上的小喇叭,停用就不响了
Crcdisk -- CRC磁盘筛选驱动程序
diskperf -- 硬盘检测驱动
dmboot -- 系统启动时用于加载NT磁盘的驱动(一般它是停用的)
dmload -- 系统启动时必需加载的磁盘驱动
Fips -- 用于加载和管理磁盘分区的驱动
fs_rec -- 文件系统相关
Gpc(Generic Packet Classifier) -- 普通信息包分类器
HTTP -- 一个位于Win2003和WinXP SP2中的作系统核心组件，能够让任何应用程序通过它提供的接口，以http协议进行信息通讯。
IntelIde -- intel主板PCI接口驱动
IpNat(IP Network Address Translator) -- IP 网络地址转换
IPSEC driver -- IPSEC Services (IP 安全性服务) 依赖于此服务
ksecdd -- 在核心模式（kernel-mode）下用户跟LSASS通讯的核心安全设备驱动
mnmdd -- 图形缓冲处理器
mountmgr -- 设备分配与管理
NDIS System Driver -- 无线网络装置的驱动 NDIS全称为Network Device Interface Specification(网络驱动接口标准)
NDIS 用户模式 I/O 协议 -- Wireless Zero Configuration 服务依赖于它
NDProxy --  NDIS的代理程序
NetBT(NetBios over Tcpip) --  DHCP Client 和 TCP/IP NetBIOS Helper 网络服务依赖它
Null -- 它的含义是空的,无意义的.但有些软件需要调用到它
NwlnkFlt(IPX Traffic Filter Driver) -- IPX通讯过滤器驱动
NwlnkFwd(IPX Traffic Forwarder Driver) -- IPX通讯代理驱动
NwlnkIpx(NWLink IPX/SPX/NetBIOS Compatible Transport Protocol) -- IPX/SPX协议是常用于局域网联机的
NwlnkNb(NWLink NetBIOS) -- Netbios使程序和局域网作能力之间的接口标准化
NwlnkSpx(NWLink SPX/SPXII Protocol) -- 该协议能使大型宽带网上的性能发挥更好
PartMgr(Partition Manager) -- 分区管理
ParVdm -- 视频显示模块相对驱动
PCIIDE -- PCI插凿驱动
RDPCDD -- 数据传输端口驱动
RasAcd(Remote Access Auto Connection Driver) -- 为系统服务 Remote Access Auto Connection Manager 提供支持
Serial -- 串口驱动程序
StyleXPService -- XP主题服务
spupdsvc(windows service pack installer update service) -- windows 补丁包安装更新
Wanarp(Remote Access IP ARP Driver) -- ARP协议驱动,ARP全称是Address Resolution Protocol（地址解析协议）它负责IP地址和MAC地址之间的转换.
NdisTapi(Remote Access NDIS TAPI Driver) -- 无线网络连接适配器驱动
Tcpip(TCP/IP Protocol Driver) -- DHCP Client、DNS Client、IPSEC Services和Telnet等网络服务依赖它
VgaSave(VGA显示控制器) -- 基本显卡驱动，停止它的话系统将无法正常启动
VolSnap -- 为系统服务 Volume Shadow Copy 提供支持.作用是管理并执行用于备份和其它目的的卷影复制。
YzIdiot -- 网络还原精灵
XPROTECTOR -- 未知，它应该是系统的
netdetect -- 未知，它应该是系统的
NetWork DNS -- 未知，它应该是系统的
GVCplDrv -- 未知，它应该是系统的

<其他软件或恶意程序的驱动>

autorun -- 恶意程序
EagleNT -- 未知
NPPTNT2 -- 未知
dump_wmimmc -- 未知
oreans32 -- 未知
GMSIPCI -- 未知
agp440(Intel AGP Bus Filter) -- intel AGP驱动
nv_agp(NVIDIA nForce AGP Bus Filter) -- Nvidia AGP驱动
NAVAP -- 赛门铁克的诺顿杀毒
NAVAPEL -- 赛门铁克的诺顿杀毒
NAVENG -- 赛门铁克的诺顿杀毒
NAVEX15 -- 赛门铁克的诺顿杀毒
SymEvent -- 赛门铁克的诺顿杀毒
SAVRT -- 赛门铁克的诺顿杀毒
SAVRTPEL -- 赛门铁克的诺顿杀毒
gdrv -- 技嘉产品的驱动程序
npkcrypt -- 腾讯QQ的键盘加密程序
npkcusb -- 腾讯QQ的键盘加密程序
kmsinput -- 腾讯QQ游戏的反外挂程序
basetdi -- 瑞星杀毒软件
hookcont -- 瑞星杀毒软件
hookreg -- 瑞星杀毒软件
hooksys -- 瑞星杀毒软件
MemScan -- 瑞星杀毒内存扫描程序
ExpScan -- 瑞星杀毒磁盘扫描程序
KWatch3 -- 金山毒霸
KNetWch -- 金山毒霸
KWatchSvc(kingsoft antivirus KWatch Service) -- 金山毒霸
KPfwSvc(kingsoft personal firewall service) --金山毒霸
ViaIde -- VIA芯片的IDE驱动
CnsMinKP -- 雅虎助手和网络实名软件
Bdguard -- 百度超级搜霸
adsrsvc -- 百度超级搜霸
abhcop -- 划词搜索
AHook -- CNNIC中文上网插件
Anfad -- CNNIC中文上网插件
CDNTRAN -- CNNIC中文上网插件
Cdnprot -- CNNIC中文上网插件
FAD -- CNNIC中文上网插件
hProcess -- CNNIC中文上网插件
nwupspx -- MyIEHelper恶意插件
albus -- MMSAssist彩信通
JMediaService -- MMSAssist彩信通
fsprot -- IE-BAR恶意插件
moprot -- IE-BAR恶意插件
rfsafe -- 新浪软件
NetGroup Packet Filter Driver -- 发ARP欺骗包的驱动程序(局域网病毒)
PNP***** -- 安全卫士生成(防毒) *代表随机数字 (pnp680.sys和pnp680r.sys这两个是ATA阵列驱动)

安装软件引起冲突,可以从这里寻找原因

通过此操作，可以了解到原来很多程序也都利用了在这里安装驱动程序，当然病毒更是如此，从而不容易被发现；突然想到如果自己也做一个这样的程序，那肯定很有意思，也会很有成就感。

 

同时怀疑很多网站通过强制安装流氓软件，来不断的刷新他们的流量，点击率，这种不走正道肯定会被举报，ip被封；亲身体验到写流氓软件的技术含量应该也很不错的，所以以后要做流氓，还得先学技术啊。