文章作者：Helvin [E.S.T 顾问团]
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

有个Win2003，跑的服务器不重要，打了补丁很久没重启，前几天蓝屏过，导出蓝屏dmp文件windbg分析，发现Ipnat.sys引起，因为还有其他事情要忙，当时没太在意。今天一看竟然成了肉鸡，疯狂想德国法国的一些80、442、25端口发送包，抓包分析，基本都是病毒体传播和点广告的
病毒本身一共5个文件 srosa.sys hldrrr.exe wintems.exe mdelk.exe 还有一个是放在了Du Meter的自启动下面

冰刃等一些都是“不是有效的win32程序”，杀毒软件更别说了。驱动隐藏驱动、程序、注册表，病毒体、驱动、注册表防删除保护，文件文件夹隐藏设置失效。。。。，因为是远程杀毒，安全模式啥的都不用考虑了。突然看到服务器桌面上装了WinHex，当时爆破一个小软件的时候用的，顺手打开硬盘，找到隐藏的病毒，直接对相应硬盘区域写0，重启。

残留文件删除，注册表清除一下，干净了

WinHex确实强啊。
直接写硬盘，可以当铸比较BT的强删工具啊

顺手打开硬盘，找到隐藏的病毒，直接对相应硬盘区域写0，重启。

残留文件删除，注册表清除一下，干净了
LZ能否详细点，头一次见怎么牛比的文章！

呵呵 我经常用winhex查杀病毒，打开winhex选择硬盘－》相应分区－》选择相应的病毒文件（完全可以查看所有隐藏的病毒文件）－》可以利用字符串大概了解病毒文件的功能是否加壳等－》把病毒的16进制文件区域填充00保存退出。
这样有个好处就是，很多病毒会检测相应文件是否被删除，而不会检测文件是否被修改，其功能是否还完整（个别病毒例外哈曾经遇到过），达到了各个击破病毒的效果。

呃，糊里糊涂进来了，认为题目叫远程用WinHex查杀顽固病毒恰当些

winhex还可以这样用.受教了......

终于看懂了......
开始以为用它来删文件的

感谢楼主提供这个技巧

WinHex可以查看/编辑使用RootKit技术隐藏的文件吗?

可以编辑任何技术隐藏的文件。病毒都是对文件的内存区域进行保护，没有对硬盘文件完整性进行不断检测的。

"srosa.sys hldrrr.exe wintems.exe mdelk.exe"这几个文件是否没有运行或被占用，我试过，正在运行或占用的文件可以被编辑，但是无法保存。还是我的方法不对，应该就是直接编辑，填充0吧？否则，直接删除也可以的。

写0是不错的方法,以前对付病毒最常用的方法是用记事本打开,删掉一部分文字,然后他就不能正常运行了,这貌似也是个方法...实在不行可以用替换命令.

冰刃打不开,可以改名试试!

不过 WINHEX还有这功能还是第一次听说!

呵呵,学习了!

其实用它杀毒就是麻烦了
不过思路真的不错
可以推广到其他的进制编辑工具

直接写硬盘，能过驱动还原不？
貌似现在很多还原更BT
值得测试一下

被感染了的文件呢？？
这样的方法感觉不是很有效。

这跟记事本打开编辑有什么区别》？
用别的编辑工具效果是不是也差不多？

恩！
思路是不错。。
直接对相应硬盘区域写0。
WinHEX还有这个功能。。
谢谢指点，回头好好研究研究。。

真是不错,支持了.