图1

　　图2

　　因该数据服务器内有大量重要软件和数据，不能轻易格式化硬盘和重装系统。此时，系统中所带的某国产著名杀毒软件被木马关闭，双击无法打开；系统文件crugd.dll被损坏（桌面右下角反复提示）；察看隐藏文件和系统文件被木马禁止；与木马有关的注册表相关选项均被锁定----典型的“狠角色”。于是使用winhex，直接从磁盘文件系统入手进行对抗。

　　对抗步骤：

　　1.执行winhex，点击"Tools"->"Open Disk.." 打开操作系统所在的驱动器盘符，该数据服务器为C盘。winhex会很快对全盘进行遍历，并根据不同的文件系统类型生成包含所有文件的多级浏览，包括NTFS特有的MFT文件和FAT32特有的FAT文件等等均可以看见。根据在注册表中的木马信息提示，双击进入windows和windowsfontsyn-XX-XX-XX-XX-XX-XXsystem目录，可发现所有被隐藏的木马程序，如图3和图4所示：

　　图3

　　图4

　　2. 接下来是整个处理步骤的关键。单击其中某一个木马程序名，在winhex的右下角数据区域会发可执行程序特有的“MZ...PE”等标志，如图5所示。鼠标点中该区域上的数据，此后在键盘上随意按键，修改之后的20--30个字节内容，破坏程序完整性即可，如图6所示。此时，木马已经被破坏，无法再次执行。为保险起见，彻底根除木马，右键单击木马文件名，选取其中的“position”->"Go To FILE Record"选项，这样winhex右下角将出现木马程序在NTFS或FAT文件系统中的文件记录信息，包括文件名等，也对其进行小幅度修改，使操作系统在重启后找都找不到该木马文件，如图7所示。但此处危险性较高，一旦改得太多，将破坏文件系统记录的完整性，直接导致其他重要文件的“失踪”。因此，这后面一步，请慎重使用。