玉兔病毒檔案

　　玉兔病毒會(huì)試圖破壞安全模式，使用戶無(wú)法進(jìn)入該模式殺毒。玉兔病毒在每個(gè)盤符生成病毒文件和Autorun.inf文件，只要雙擊盤符就可以進(jìn)行感染。玉兔病毒會(huì)結(jié)束安全軟件及其他一些常用的安全輔助工具。玉兔病毒還修改注冊(cè)表導(dǎo)致用戶無(wú)法正常查看隱藏的系統(tǒng)文件，從而達(dá)到不被查殺的目的。

　　巧避鋒芒清除病毒

　　首先，要清除盤符里的病毒文件和Autorun.inf文件，以防止病毒繼續(xù)擴(kuò)散。因?yàn)椴《镜脑�因，我們不能夠正常進(jìn)入注冊(cè)表和使用冰刃檢查系統(tǒng)。但是我們可以使用超級(jí)巡警綠色版本，因?yàn)椴《静⒉荒荜P(guān)閉超級(jí)巡警。

　　進(jìn)入“進(jìn)程管理”選項(xiàng)，很快發(fā)現(xiàn)bryato.exe、severe.exe、loveRabbit.exe等3個(gè)可疑的病毒進(jìn)程。其中bryato.exe是盜取QQ密碼的木馬，而另外兩個(gè)是玉兔病毒的進(jìn)程。這三個(gè)進(jìn)程都插入了bryato.dll運(yùn)行。

　　由于病毒進(jìn)程具有關(guān)閉后馬上重啟動(dòng)的特點(diǎn)，首先選中三個(gè)進(jìn)程，然后右鍵單擊三個(gè)進(jìn)程選擇“禁止進(jìn)程創(chuàng)建”命令，接著右鍵單擊三個(gè)進(jìn)程選擇“強(qiáng)制卸載標(biāo)記模塊”命令(圖2)，這樣便暫時(shí)終止了這幾個(gè)進(jìn)程。

　　進(jìn)入“啟動(dòng)管理→注冊(cè)表”選項(xiàng)，很快發(fā)現(xiàn)了bryato.exe和severe.exe的非法啟動(dòng)項(xiàng)目(圖3)，右鍵單擊這兩個(gè)啟動(dòng)項(xiàng)目選擇“刪除啟動(dòng)項(xiàng)”命令予以清除。

　　揪出系統(tǒng)深處的病毒

　　此時(shí)，病毒還潛伏在系統(tǒng)深處，還需要我們進(jìn)一步清理。進(jìn)入“進(jìn)程管理”，仔細(xì)分析一些系統(tǒng)進(jìn)程，根據(jù)文件創(chuàng)建和其他信息馬上發(fā)現(xiàn)了Winlogon.exe系統(tǒng)進(jìn)程被插入了msexch400.dll這個(gè)病毒文件，記下文件位置，接著選中該文件后右鍵單擊選擇“強(qiáng)制卸載標(biāo)記模塊”命令(圖4)終止病毒進(jìn)程。

　　在conime.exe進(jìn)程發(fā)現(xiàn)被插入了bryato.dll，選中該文件后右鍵單擊選擇“強(qiáng)制卸載標(biāo)記模塊”命令終止病毒進(jìn)程。接著重新啟動(dòng)計(jì)算機(jī)，刪除記下的病毒文件。

　　再次重新啟動(dòng)計(jì)算機(jī)，此時(shí)已經(jīng)可以進(jìn)入注冊(cè)表編輯器，進(jìn)入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子項(xiàng)，發(fā)現(xiàn)右側(cè)的ChekedValue鍵值為1，當(dāng)然無(wú)法顯示隱藏的病毒文件了，修改為0。

　　之后便可以顯示隱藏的病毒文件了，最后刪除導(dǎo)致無(wú)法雙擊打開盤符的Autorun.inf文件以及相關(guān)的OSO.exe即可。