信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章作者：IFriend

金州转载说明：还是注意思路，好好看看他判断的方法，尤其是新建账号那一段有意思。哈哈。另外作者说的注册表中无法删除的项目，个人觉得通过修改权限，赋予everyone控制权限应该可以删除。

今天上网的时候MCAFEE一直弹出Ygolbhmb.dl1病毒。在个人帐号里的TEMP目录。应该是自动下载或是自动生成到那里的。一下载就被MCAFEE杀掉。于是我想看看是什么木马，就把MCAFEE停掉了。再看那个TEMP里还是没有这个文件。我就想(此处作者可能漏掉了“建立”两个字，金州说明) 那个同名的文件然后去掉所有用户的权限，这个木马就没有什么作为了吧。呵。结果一改名就消失了。。再建同名的文件告诉我文件已经存在，在任何目录建这个名字的文件都会消失。偶就明白了。原来是中了ROOTKIT。汗。就一天没开防火墙就能中个病毒，也真够郁闷的。于是下载了一个KNLPS去查杀隐藏进程。。。结果一看24个隐藏进程，而且还看不到文件名。。只看的到ID，不过好多是重复的。于是杀了一个，没反映，再杀一个，把我的命令行窗口给关掉了。我再杀。。结果WIN2K3一下就重启了。我这个郁闷啊。

   重启之后偶在百度和GOOGLE搜了一下，结果一条关于这个的也找不到。呵，可能是新玩意吧。也许是偶见识少。REGEDIT进入注册表，搜索，搜不到，服务和启动里也看不到异常的东东。。。小样，藏的还真够深的。既然这样就进命令行的安全模式吧。为什么要用命令行的呢，因为这个启动的东西最少喽。呵。

   重启按F8选择进入命令行安全模式，进入后是一个命令行的窗口。运行 start explorer.exe打开资源管理器。运行里输入REGEDIT，输入Ygolbhmb查找，出来了吧。把所有这个名字的键全部删除，有2个键删不掉，不管，把他下面的子键的内容和该键的内容都删掉就成了，一共好几个，到底几个偶了没数，然后就是清除后门文件喽。在C盘按CTRL＋F打开搜索，输入Ygolbhmb查到了三个文件。Ygolbhmb.dl1 Ygolbhmb.d1l Ygolbhmb.dll，DLL这个文件在DRIVERS目录下，*哪，还真的想不到会在这儿。。三个交叉恢复，只删一个是删不了的。我删删删，嗯，删掉了一个，怎么还有2个删不掉，*。删不掉啊删不掉，右键属性，删除所有用户的访问权限。确定。建个管理员帐号重启。net user if loveif /add;net localgroup administrators /add if^*^

   重启好用新建的帐号进去。把那2个删不掉的文件给IF这个帐号赋权。然后就可以删除了。＾＊＾嘻嘻，TNND，偶总算把这玩意给删除了。再建个同名的文件试试。嗯文件还在，好了，木马算是清除掉了。但是不知道是在哪个网站中的，哈。算了不理它了，以后小心点喽，没了没了，不用看了。完了.

小弟菜，但是还是问下
“在个人帐号里的TEMP目录”是不是“C:\WINDOWS”下的那目录
“右键属性，删除所有用户的访问权限。确定。建个管理员帐号重启。net user if loveif /add;net localgroup administrators /add if”怎么删除啊，建立个管理员权限的帐号以后是不是进入一般模式
“把那2个删不掉的文件给IF这个帐号赋权”怎么夫权啊！谢谢解答，我菜

不是没有人回答，哈哈，是还没有看到，哈哈，不可能整天在论坛呢，哈哈
我这不是看到了，马上就尽我的力量给你回答了，哈哈，虽然你不一定满意，


“在个人帐号里的TEMP目录”是指的你C:\Documents and Settings然后你的正在使用的管理员的账号下面的那个temp。为了保险，如果真的遇到，建议把ie缓存的那个temp也清理一下。

“net user if loveif /add;net localgroup administrators /add if^*^”这句话不是删除的，而是解释前一句话，就是说“建个管理员帐号“作者建立了一个if loveif新帐户，赋予权限管理员。“^*^”这个估计是原文章的幽默，就是省略了那个用户名字，还是“if loverif”

哈哈，可是看懂了？我说得也不一定对，
千万不要说自己菜，哈哈，你说菜我第一个想到的就是我啊，我哭。
哈哈，如果你觉得我解释的还是太马虎，
那么请你不耻下问，还问我，哈哈
我是知无不言，不知道得也一定会想办法给您找答案。
大家一起学习，哈哈
祝福

不好意思，忽略了一点，赋予权力的问题好像是ntfs下的，右键好像就可以了。个人没有使用这种磁盘格式。不好乱说。哈哈，我真马虎。不好意思。

谢谢您的回答，但是“是指的你C:\Documents and Settings然后你的正在使用的管理员的账号下面的那个temp”好象小弟还是不是C:\Documents and Settings\user\Local Settings\Temporary Internet Files 这文件
我还想问C:\WINDOWS下的那账号下面的那个账号下面的那个temp是做什么用的，现在我用的是管理员帐号，是不是我用超管，那文件又有所不同，呵呵！谢谢解答！3Q
另外我想解释下“temp是什么意思 ”，不是给你看，是给像我这样刚刚来的人看下，也给我提醒下的，以后自己不会忘记，呵呵！新来的嘛
============

temp是临时的意思，Temporary的简写形式

如C:\temp 系统或应用程序运行的临时文件夹。
C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files 是IE的临时文件夹，IE浏览的所有文件，包括网页，图片，FLASH等都会存储在这里。

所有文件都可以删除

===============
谢谢！

都是高手阿。
建议用icesowrd删除，它的权限比较大，连我那次用vista建立的programe files 文件夹（winxp下安全模式删不掉）都直接可以删掉。而且用它可以看到rootkit。用F-secrue的blacklight也不错，可惜有使用时间限制。