如何用终截者清除Richnotify病毒 

前天，一个专职负责6家大型网吧一千多台电脑的维护工作的朋友跟我说，他所管的一家网吧的电脑感染了Richnotify病毒。Richnotify病毒竟能穿过他的冰点5.2版系统还原系统而感染网吧的所有电脑，并且清除后只要一上网又感染此病毒，搞得他焦头烂额、挫手不及，还是没搞定这些垃圾。

前不久在网上也看到过Richnotify病毒的相关文章，但没有引起注意，现听到朋友的诉说后，我便到网上查找了一些关于Richnotify病毒的资料及评论，发现最近很多网友中了此病毒后用杀毒软件还是杀不了或杀不干净，也在网上诉说他们的被Richnotify病毒骚扰后的苦衷；这时我便想到我的电脑只安装了终截者，而没有安装其它的杀毒软件或防火墙，我便心血来潮想试看我的终截者能否拦截及清除这如此可恶的病毒，于是我便叫朋友把Richnotify病毒的样本发给我，让我亲自考验一下终截者的本色（终截者要是拦不住我可惨了，自找苦吃，只好自作自受了，唉…！先不管那么多，要是真的拦不住就把终截者给休了。）。

下面就让我们一起来分享这刺激的体验吧！

我们打开终截者后运行Richnotify病毒的执行文件Richnotify.exe文件，当此执行文件试图运行时，终截者的安全预警功能便把它拦截了，阻止其运行并弹出窗口（如下图所示）提示用户，还提示危险等级是高呢！呵呵，这是终截者拦截病毒的第一关。

 

我们可通过点击此安全预警窗口中的“禁止”按钮来禁止Richnotify病毒的运行，在此我点击了“允许”按钮，允许了Richnotify.exe 文件的运行（因为我想试看当我不小心让此病毒的执行文件运行后，终截者还有没反应），点击“允许”后，终截者不断弹出不同的自启动防护窗口（如下图1-2），看来Richnotify.exe 运行后总是试图注入到我运行的所有exe运行程序中，并对其注册表进行修改。呵呵…！终截者还是发现了并弹出窗口提示我，这是嘻嘻，这里我还是全部点击了“允许”。

 

 

好了，这时我便打开procexp 进程查看工具查看我的QQ等运行程序加载了哪些程序，

我用procexp的查找功能查看有无加载Richnotify病毒的文件（如下图），哇噻…！我运行的iexplore、QQ等所有的EXE 程序都被加载了Richnotify病毒的reshtm.dll、Richnotify.exe 文件。

  

下面的图比较清析

  

上面我放过了Richnotify病毒的运行，下面我们一起再来看，通过终截者的“安全回归”功能能否禁止刚才放过的病毒。我运行了安全回归功能重启我的系统后，弹出如下图所示窗口：

  

在此，我得向终截者的作者们报告，终截者竟然把我的手机蓝牙设备程序误报为高风险，呵呵，兄弟们还得把签名库做全点啊！

我们再点击此窗口中的“打开编辑器”按钮看看编辑器里是如何提示的（如下图），这里显示richnotify.exe 文件的可疑程度是高风险，下次运行的状态是“未配置”。

  

此时，我又打开procexp 进程查看工具查看我运行的EXE程序还有没加载Richnotify病毒的文件（如下图所示），从procexp 进程查看工具窗口中查看到没有加载Richnotify病毒的任何文件了，呵呵，通过终截者的安全回归功能成功禁止了Richnotify病毒的运行。

  

我们再用终截者的扫描功能来扫描一遍系统，看能否帮我清除此可恶的Richnotify病毒。下面我便开始用此扫描功能扫描我的系统，下图是扫描结果的提示窗口。

  

下图为扫描报告的一部分

  

根据此扫描报告可看到那家伙在我的注册表的自启动项中添加了以下键值{9D0351F9-8E49-4ed1-BBCE-0795F5B9F240}来实现自启动。

通过此报告的提示我手动成功删除了Richnotify病毒的EXE执行文件及reshtm.dll、resPro.dll两个隐藏的病毒模块，且在注册表中删除了所有的{9D0351F9-8E49-4ed1-BBCE-0795F5B9F240} 键值。我重新启动系统并上网后，并未再发现Richnotify病毒。

成功清除了这被认为顽固的家伙。看来我的终截者还是挺管用的，以后得好好对它。