比“熊猫烧香”还恶劣！！！为什么瑞星江民金山都没反应？？？
病毒名：Worm.Pabug.ck
传播方式：通过移动介质或网页恶意脚本传播
除从凑 C盘以外，所有盘符下生成autorun.inf(使用右键打开也会运行病毒)  oso.exe 美女游戏.exe 重要资料.exe（不包含其它变种生成的）
杀毒软件服务停止
msconfig不能运行
regedit不能运行
破坏显示隐藏文件的功能
删除卡卡助手的dll文件kakatool.dll
系统时间被修改杀毒软件不能升级
为了堵死中毒者的“后路”，又采取了另一种卑劣的手法
修改hosts文件，屏蔽杀毒软件厂商的网站，卡卡社区“有幸”成为被屏蔽的其中一员：
这是后来用SREng看到的结果，在程序代码里也有相应内容：

127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com
127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com
其中，在结束瑞星服务的过程中，由于瑞星会弹出提示，病毒作了相应处理：
用FindWindowA函数，捕捉标题为"瑞星提示"的窗口
用FindWindowExA函数，找到其中“是(&Y)”的按钮
用SendMessageA函数向系统发送信息，相当于按下此按钮
为预防瑞星注册表监控提示，故伎重施：
用FindWindowA函数捕捉标题为“瑞星注册表监控提示”的窗口
用mouse_event控制鼠标自动选择允许修改。
然而，做了这么多工作除去杀毒软件之后，作者似乎觉得还不保险，他终于使出了“杀手锏”：
在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
创建以安全软件程序名为名的子项
子项中创建子键
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"
使得这些程序在被双击运行时，均会转为运行病毒文件mpnxyl.exe
形如：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\mpnxyl.exe"

autoruns的日志中可以清楚地看到这些项目，以及遭到这种手法“蹂躏”的程序：
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe

都没人中这种病毒的吗？网上没有专杀，难道只有格式化硬盘了吗？

好像baohe写过分析.

我找下先.
..

http://forum.ikaka.com/topic.asp?board=28&artid=8257332

记错了.是小聪写的....

先谢了。不过没有更直接的解决办法吗？

朋友，右键打开可以点下面那个打开嘛，呵呵！

用autoruns导出日志。注意先Options-Hide Microsoft Entries，然后再file-refresh，然后再file-save

好像这坏家伙把瑞性和咔吧的网站全帮你屏蔽了，修复HOST，安全模式下杀过毒没有？