某天，接到 User 端的電話，而且只說中了病毒。至於到底是怎麼中的？或是中了什麼樣的病毒，基本上在電話中也問不出什麼結果來，所有便直接到 User 端處理囉！

依據先前手動移除病毒的經驗，為了先判斷有可能是哪些惡意程式在擾亂 User，所以瑞奇我首先祭出了第一項法寶「Process Explorer」檢查該 PC。

喔！原來在開啟瀏覽器時，explore.exe 會去呼叫 AhnRpta.exe 這個程式，並開啟 Notepad 記錄使用者的一些資料。好啦！既然兇手找到了，那就來請示「孤狗大神」吧！找到資料後，再去微軟下載等會會使用到的第二項法寶「AutoRuns」。

首先在Process Explorer中，Kill 掉 AhnRpta.exe 這個運作中的程式。接著再由AutoRuns找到【HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks】這個機碼的位置。先取消勾選和C:\WINDOWS\system32\softqq1.dll有關的機碼，再到相關C:\WINDOWS\system32 目錄中把相關的檔案刪除。再重新開機後，暫時看起來正常，就交機給 User；但沒想到不久後，又接到「蟲蟲」又捲土重來的消息，只好再前往檢查一次。

而這次，我學乖了，除了把【HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks】這個機碼的位置中，沒有顯示描述及發行者的東西都取消勾選外，並且把 User 電腦中的所有機碼項目全檢查了一遍，寧可錯殺一百，也不要放過任何一個可疑的對象。其中包含了一個C:\WINDOWS\Debug\xmlDown.dll，強烈懷疑變種「蟲蟲的窩」，就全寫在這個xmlDown.dll 中。接著又取消了一個在【HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run】中的C:WINDOWS\system32\aqoeerw.exe，再把相關檔案移除後，請 User 重新啟動，接著問題就解決了。

正常的【HKLM\Software\Microsoft\Windows\CurrentVersion
\Explorer\ShellExecuteHooks】裡頭，應該只有一個C:WINDOWS\system32\Shell32.dll 吧！