【IT168 专稿】周末本该在家休息的小王，一大早跑到笔者的办公室，哭泣的说到自己电脑“无药可救”了。起初笔者以为是电脑硬件出现了问题，后来经过了解才知原来是电脑运行速度变慢，并且经常有浏览器窗口无故弹出的现象，来阻碍其平时正常的操作，本想利用杀毒软件进行解决，可是又一无所获。

    听到这里笔者怀疑是流氓软件在作恶，于是利用360安全卫士进行检测了一遍，可是结果依然一无所获。到底是什么原因导致这一奇怪的问题出现呢？当一切都陷入了僵局状态时，最近经常发生的Amalgam Lite攻击印入了笔者的脑海，根据此前小王的描述，其前后两者所出现的情况居然又吻合，因此我们不得不断定是“Amalgam Lite”木马下载者所为。

    通常情况下IE浏览器出现异常状况，都跟恶意程序插入其进程有关，为了检查并消灭加载的恶意程序。这里打开“Icesword（冰刃）”客户端程序，单击左侧“进程”按钮，此时编辑区内就会显示出当前系统所有运行的进程如图1。

当前系统运行进程图

    从中我们找到IE浏览器所运行的进程，并且右击选择“模块信息”命令，然后检查所弹出的“进程模块信息”对话框，可惜笔者并未发现任何可疑模块信息，不过由此我们可以否决恶意程序利用线程插入进行伪装，从而判定其恶意程序是利用IE进程来启动运行服务端的阴谋。

    接下来打开“AutoRuns”工具，选择“全部启动项”标签，从其下方所显示的编辑区内找到可疑启动项如图2。

可疑启动项

    然后按照后面的映像路径，“顺藤摸瓜”找到所对应的运行程序，并且记录其程序名称后。打开“注册表”编辑器，为了便于自己很快查找到恶意键值，这里依次单击“编辑”→“查找”选项，在弹出的“查找”对话框内，输入刚才记录的程序名称后，单击“查找下一个”按钮进行搜索，找到后没得说将其恶意键值删除。而后再次打开“Icesword（冰刃）”客户端程序，在进程列表里终止此时所运行的IE浏览器进程，并且单击“文件”栏进入，然后依次展开系统盘符到System目录下，将此先记录的恶意文件名删除。最后顺原路返回到“AutoRuns”工具，这回就可以正常删除掉，刚才所发现的木马的启动项了。操作完毕后，重新启动一下计算机，回来你会发现此时的系统，已经恢复了往日的平静，其木马下载者早已消失的无影无踪。