IDA这个是楼主分析的吗，还有可以用360急救箱强力模式扫描两次哦。

下载安装Pchunter

打开Pchunter，查看进程列表，按文件厂商排列，重点关注蓝色或红色项目，以及路径不正常的。通过文件厂商，百度搜索，查看文件数字签名，上传virscan扫描等方法判断是否病毒。

如上图，一下子找到temp目录的可疑进程gameck.exe。百度搜索无果，文件无数字签名。上传virscan扫描。

注意上面瑞星的报毒名，qq密码偷窃者的意思。确认病毒无疑，这个估计就是自动发垃圾广告说说元凶。
可惜本例中只删除这个gameck.exe并不能解决问题，重启后又会自动生成，怀疑有母体。
回到Pchunter，检查驱动，同样按文件厂商排列，观察红色和蓝色项目。


从上图看，蓝色项目正常，没发现问题。
切换到内核，系统回调，重点观察shutdown（关机回调）、cmpcallback（注册表回调）、createprocess（进程回调）、loadimage（映象回调），具体百度。
很快可以定位到异常项：

伪装成Microsoft系统文件了。回到驱动模块选项卡，按文件名排列，看到了可疑文件

右击查看驱动文件属性，发现描述居然是ACPI.sys

看下数字签名，居然是正常的系统签名，怀疑访问属性被重定向到acpi.sys（作死的在pchunter里删除了这个驱动，结果重启tcpip.sys丢失）

发现驱动木马后，正确的做法是，安装PE到系统上（如微PE），重启进PE备份删除该文件（为了防止误删，一定要先备份！）。




下面介绍Pchunter里直接删除驱动木马的方法（不推荐！！！）
内核选项卡，系统回调里，删除驱动木马所有相关的回调。

切换到文件系统选项卡，微端口过滤器，右击移除驱动木马过滤器

回到驱动模块选项卡，右击查看驱动文件属性

可以看到文件属性已经恢复正常了，上海域联的数字签名，驱动木马常用。这时可以删除木马文件和注册表了。

最后，右击卸载驱动，至此病毒成功移除。
安装杀毒软件全盘扫描接口（至少扫描C盘）。用杀软扫描收尾是必要的，手杀并不能解决系统文件替换、程序被感染、利用系统dll搜索顺序传播的dll蠕虫等.而这些是杀毒软件擅长的,手杀只能清理病毒的启动项，如：

只要病毒不开机启动了，重启病毒就不会运行。

继续啊，楼主，我想看解决方案

遇上Pchunter无法加载驱动的情况，可以使用同类工具火绒剑（火绒安全，扩展工具）

打开后，查看进程，按公司名排列，一下子定位到可疑进程gameck.exe。


上面看到了一堆浏览器进程名，以及被劫持的主页。下面查看内核通知（Pchunter里的系统回调），发现可疑项：

至此，可以进PE里备份删除文件了。备份后，删错了也不怕，可以再进PE还原。
某些情况下，内核通知可能无法显示，可以查看内核模块钩子，发现可疑项：

然后进PE，利用PE开始菜单的文件搜索工具搜索文件名，一般在drivers目录。找到后备份删除。

驱动木马，运行在ring0层，不比ring3的木马进程，注册表木马启动项，木马服务等，可以随便删。
ring0层的操作要格外小心，轻则蓝屏，重则系统崩溃无法进系统。
如本例，直接强删木马文件，会导致系统驱动acpi.sys被删从而进不了系统。
删除木马驱动过程，可能触发木马主动反抗，破坏系统。
PE下，木马驱动失活，可以随便删。而且可以提前备份，出问题后还原。

PE下直接判断木马驱动的方法
首先安装PE到系统上（上面有提到），重启进入PE，打开windows\system32\drivers

右击文件夹空白处，查看详细信息

右击文件夹空白处，选择更多排序方式

按拼音首字母的英文顺序，勾选公司

然后点公司，按公司名排列，一下子找到可疑驱动，文件名长度为8，由0-9和A-F组成。

然后备份驱动文件，再删除驱动文件。重启后用杀毒软件全盘扫描（或只扫C盘）。

感谢lz lznb

大哥 我还是不太会甄别这些东西 麻烦您可以联系一下我吗 给您发私信过不去啊 qq99636317

谢谢楼主，问题已经解决了！！！
我遇到的和你说的差不多。杀软完全检测不出来。
1.网页快捷方式登陆QQ后会发送垃圾广告（贷款之类的）
2.按照楼主说的360急诊，没有用。提示网络断开？（网络没有问题）
3.drivers文件夹下空白。鼠标右键有很多功能缺失（比如360强力删除等）
我先是安装PChunter提示驱动无法安装。最后是用火绒按照楼主的方法搞好的。

这张图是火绒剑 进程 里面 System 底下有两个 证书有问题的（记不太清，不过有红色提示）？值得注意的是 两个。进程都有问题。而且名字跟楼主说的不一样。主要看文件名（0-9。A-F 之间就基本是的了） 点进去用记事本打开果然是这个文件（CTMD暴风激活）

之后内核通知（Pchunter里的系统回调），发现了另外的一个文件，在drivers里面。文件名也是 0-9。A-F 之间。最后进PE把 temp 和 drivers里面的都删除了。目前没有问题。
最后说一句。***的 暴风激活。

老哥，处理完之后怎么才能知道是真的处理干净了呢，我用360急救箱扫描出来一些文件处理掉了，但是不知道是不是解决问题了，不敢上QQ啊难道只能上QQ才能验证吗