呵呵,不好意思......该兔宝宝本身似乎感染了另外一个nvscv32.exe的毒(好像是感染的熊猫的,记不大清了),而熊猫采用了一种所谓“键盘映射”的技术,使得冰刃等改名也不好用(因为它根本不是采用IFEO劫持),关于“键盘映射” 推荐看一下这篇文章
http://www.shineblog.com/user5/lovekoala/archives/2007/745840.shtml
讲解的很详细....... 至于CMD和ATTRIB两个进程,只要将LOVERABBIT挂起就可以了或者你可以将CMD转移了(这样他就调用不到了,因为这个调用是个反复的过程,应该不会影响你分析病毒的吧)
也很希望你能把测试的结果报告给发出来分享一下(嘻嘻......)
