追捕能毀滅安全模式的“玉兔”病毒

　　玉兔病毒檔案

　　玉兔病毒會試圖破壞安全模式，使用戶無法進入該模式殺毒。玉兔病毒在每個盤符生成病毒文件和Autorun.inf文件，只要雙擊盤符就可以進行感染。玉兔病毒會結束安全軟件及其他一些常用的安全輔助工具。玉兔病毒還修改注冊表導致用戶無法正常查看隱藏的系統文件，從而達到不被查殺的目的。

　　巧避鋒芒清除病毒

　　首先，要清除盤符裡的病毒文件和Autorun.inf文件，以防止病毒繼續擴散。因為病毒的原因，我們不能夠正常進入注冊表和使用冰刃檢查系統。但是我們可以使用超級巡警綠色版本，因為病毒並不能關閉超級巡警。

　　進入“進程管理”選項，很快發現bryato.exe、severe.exe、loveRabbit.exe等3個可疑的病毒進程。其中bryato.exe是盜取QQ密碼的木馬，而另外兩個是玉兔病毒的進程。這三個進程都插入了bryato.dll運行。

　　由於病毒進程具有關閉後馬上重啟動的特點，首先選中三個進程，然後右鍵單擊三個進程選擇“禁止進程創建”命令，接著右鍵單擊三個進程選擇“強制卸載標記模塊”命令(圖2)，這樣便暫時終止了這幾個進程。

　　進入“啟動管理→注冊表”選項，很快發現了bryato.exe和severe.exe的非法啟動項目(圖3)，右鍵單擊這兩個啟動項目選擇“刪除啟動項”命令予以清除。

　　揪出系統深處的病毒

　　此時，病毒還潛伏在系統深處，還需要我們進一步清理。進入“進程管理”，仔細分析一些系統進程，根據文件創建和其他信息馬上發現了Winlogon.exe系統進程被插入了msexch400.dll這個病毒文件，記下文件位置，接著選中該文件後右鍵單擊選擇“強制卸載標記模塊”命令(圖4)終止病毒進程。

　　在conime.exe進程發現被插入了bryato.dll，選中該文件後右鍵單擊選擇“強制卸載標記模塊”命令終止病毒進程。接著重新啟動計算機，刪除記下的病毒文件。

　　再次重新啟動計算機，此時已經可以進入注冊表編輯器，進入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL子項，發現右側的ChekedValue鍵值為1，當然無法顯示隱藏的病毒文件了，修改為0。

　　之後便可以顯示隱藏的病毒文件了，最後刪除導致無法雙擊打開盤符的Autorun.inf文件以及相關的OSO.exe即可。