孟德！真不爽，今天是周一，刚开机Norton就报告机器被人给qj了“发现病毒，Donwload Trojian C:\Winnt\system32w\bemIRJIT.DLL,清除：失败，隔离：失败，拒绝访问”，Norton能查出来，但是搞不定。算了毛主席教导我们说“自己动手，丰衣足食”，还是自己来吧。

老办法，“先看看是什么进程使用了该DLL”，用listdlls>tmp.txt ,查看tmp.txt

原来是rundll32.exe调用了IRJIT.dll。

既然是木马一定会给自己一个自动加载的机会，用autoruns看看，原来是在“服务”里面启动的，在服务中，增加了一个叫做Routing Protect Access”还有模有样的写上“保护系统的路由进程”之类的mmmm。搞的这么玄乎，老大，我的es，有什么路由进程需要保护的。“快来看上帝啊！”

剩下的就简单了，停掉服务，然后删除。。等等“文件找不到”，Norton跳出来，喜不滋滋的说“清除成功”，哥们儿，其实我已经知道了～