“隨機8位數字”病毒手動清除辦法及建議

　　最近，江民反病毒中心監測到，一種采用“映像劫持”技術的病毒正在互聯網上大肆流竄，該病毒主要特征為：病毒運行後，會產生一個由數字和字母隨機組成的8位名稱的病毒進程，並且嘗試關閉多款殺毒軟件、防火牆和安全工具進程，使殺毒操作及其困難。而且該病毒還會在每個硬盤分區根目錄下生成Autorun.inf和隨機8位的EXE，達到雙擊硬盤激活病毒，此外，該病毒還會通過U盤，MP3，移動硬盤等移動儲存傳播，這樣就大大增加了病毒的傳播速度。

　　江民反病毒專家建議，日常操作電腦時請注意以下幾點防范措施：

　　1. 保管好自己的U盤，MP3，移動硬盤等移動儲存的使用，當外來U盤接入電腦時，請先不要急於雙擊打開，一定要先經過殺毒處理，建議采用具有U盤病毒免疫功能的殺毒軟件，如KV2007 獨有的U盤盾技術，可以免疫所有U盤病毒通過雙擊U盤時運行。

　　2. 給系統打好補丁程序，尤其是MS06-014和MS07-17這兩個補丁，目前絕大部分的網頁木馬都是通過這兩個漏洞入侵到計算機裡面的。

　　3. 即時更新殺毒軟件病毒庫，做到定時升級，定時殺毒。

　　4. 安裝軟件要到正規網站下載，避免軟件安裝包被捆綁進木馬病毒。

　　對於未安裝殺毒軟件或者殺毒軟件失效的情況下，建議使用以下辦法手動清除：

　　1. 請先到網上下載IceSword工具，並將該工具該名，如改成abc.exe 名稱，這樣就可以突破病毒進程對該工具的屏蔽。然後雙擊打開IceSword工具，結束一個8位數字的EXE文件的進程，有時可能無該進程。

　　2. 利用IceSword的文件管理功能，展開到C:Program FilesCommon FilesMicrosoft SharedMSINFO下，刪除2個8位隨機數字的文件，其擴展名分別為：dat 和 dll 。再到%windir%help目錄下，刪除同名的.hlp或者同名的.chm文件，該文件為系統幫助文件圖標。

　　3. 然後到各個硬盤根目錄下面刪除Autorun.inf 文件和可疑的8位數字文件，注意，不要直接雙擊打開各個硬盤分區，而應該利用Windows資源管理器左邊的樹狀目錄來浏覽。有時電腦中毒後可能無法察看隱藏文件，這時可以利用WinRar軟件的文件管理功能來浏覽文件和進行刪除操作。

　　4、利用IceSword的注冊表管理功能，展開注冊表項到：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]

　　刪除裡面的IFEO劫持項。

　　此時就可以安裝或打開殺毒軟件了，然後升級殺毒軟件到最新的病毒庫，全盤殺毒。