清除Win32.TrojDownloader.HmirT.a.25920

　　Win32.TrojDownloader.HmirT.a.25920病毒是个rootkit，毒霸07和08中已经集成bootclean杀毒技术（顽固病毒清除技术）应该是可以较容易的清除的。

　　以下是这个病毒的详细技术分析：

　　1.这是一个rootkit，该病毒创建设备名为\Device\KabCleanner的设备，名为\DosDevices\KabCleanner的符号链接。

　　2.Rootkit动态搜索ntoskrnl.exe文件，根据导出表和重定位表信息，以得到KeServiceDescriptorTable所指向的SSDT表中ZwOpenKey、ZwClose、ZwSetValueKey、ZwEnumerateKey、ZwCreateFile的真实地址，以此来逃过安全监视工具的截获。

　　3.另外rootkit新建\registry\machine\system\currentcontrolset\services\saiujrh38l键

　　"Type"=1

　　" ErrorControl"=1

　　"DisplayName"="saiujrh38l"

　　"Group"="System Bus Extender"

　　"Start"=dword:00000000

　　"imagepath" = "System32\DRIVERS\saiujrh38l.sys"

　　4.监视userinit.exe和explorer.exe进程的创建，若userinit.exe进程创建，则修改注册表的

　　\registry\machine\software\microsoft\windows\currentversion\runonce

　　键，设置键值为

　　%systemroot%\system32\Rundll32.exe

　　%systemroot%\system32\55Id.dll,DllUnregisterServer

　　若为explorer.exe进程创建则创建新线程来完成%SystemRoot%\system32\drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll的创建。

　　如果使用毒霸检测到该病毒，并重启后仍未完成修复，可以尝试使用金山清理专家的文件粉碎器，将%SystemRoot%\system32\ drivers\saiujrh38l.sys和%systemRoot%\system32\55gld.dll两个文件添加到彻底删除的列表，删除后 立即重启计算机。

　　缺省情况下%SystemRoot%\system32目录指c:\windows\system32目录，请根据自己Windows安装路径灵活修改。