这是INFO病毒的运行日志
父级进程：（开始运行（病毒释放的第一个文件））
  路径： C:\Documents and Settings\kemingxue\桌面\INFO.exe
  PID: 1920
  信息： Microsoft Data Access (Microsoft Corporation)
子级进程：
  路径： C:\WINDOWS\system32\regsvr32.exe
  信息： Microsoft(C) Register Server (Microsoft Corporation)
  命令行：regsvr32 /s mswinsck.ocx


进程：（进行注册）
  路径： C:\WINDOWS\system32\regsvr32.exe
  PID: 1592
  信息： Microsoft(C) Register Server (Microsoft Corporation)
注册表群组： Malware
对象：
  注册表键： HKCR\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
  注册表值： （默认）
      类型: REG_SZ
      值： C:\WINDOWS\system32\mswinsck.ocx
父级进程：
  路径： C:\Documents and Settings\kemingxue\桌面\INFO.exe
  PID: 1664
  信息： Microsoft Data Access (Microsoft Corporation)
子级进程：（病毒释放的第二个文件）
  路径： C:\WINDOWS\system32\regsvr32.exe
  信息： Microsoft(C) Register Server (Microsoft Corporation)
  命令行：regsvr32 /s scrrun.dll

进程：（进行注册）
  路径： C:\WINDOWS\system32\regsvr32.exe
  PID: 1592
  信息： Microsoft(C) Register Server (Microsoft Corporation)
注册表群组： Malware
对象：
  注册表键： HKCR\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}\InprocServer32
  注册表值： （默认）
      类型: REG_SZ
      值： C:\WINDOWS\system32\mswinsck.ocx

进程：
  路径： C:\WINDOWS\system32\regsvr32.exe
  PID: 196
  信息： Microsoft(C) Register Server (Microsoft Corporation)
注册表群组： Malware
对象：
  注册表键： HKCR\CLSID\{EE09B103-97E0-11CF-978F-00A02463E06F}\InprocServer32

父级进程：（注意这个！！！！msvbvm60.dll是什么，经过对比这个是正常不带毒的）
  路径： C:\Documents and Settings\kemingxue\桌面\INFO.exe
  PID: 1664
  信息： Microsoft Data Access (Microsoft Corporation)
子级进程：
  路径： C:\WINDOWS\system32\regsvr32.exe
  信息： Microsoft(C) Register Server (Microsoft Corporation)
  命令行：regsvr32 /s msvbvm60.dll


父级进程：（病毒释放的第三个文件）
  路径： C:\Documents and Settings\kemingxue\桌面\INFO.exe
  PID: 1664
  信息： Microsoft Data Access (Microsoft Corporation)
子级进程：
  路径： C:\Documents and Settings\kemingxue\Local Settings\Temp\s.exe
  信息： Microsoft Data Access (Microsoft Corporation)
  命令行：C:\DOCUME~1\KEMING~1\LOCALS~1\Temp\s.exe inst（病毒释放的第三个文件）

进程：(删除)
  路径： C:\WINDOWS\system32\regsvr32.exe
  PID: 196
  信息： Microsoft(C) Register Server (Microsoft Corporation)
注册表群组： Malware
对象：
  注册表键： HKCR\CLSID\{32DA2B15-CFED-11D1-B747-00C04FC2B085}\InprocServer32

接着运行S.EXE
父级进程：
  路径： C:\Documents and Settings\kemingxue\Local Settings\Temp\s.exe
  PID: 1500
  信息： Microsoft Data Access (Microsoft Corporation)
子级进程：
  路径： C:\WINDOWS\system32\regsvr32.exe
  信息： Microsoft(C) Register Server (Microsoft Corporation)
  命令行：regsvr32 /s scrrun.dll

进程：(关机)
  路径： C:\WINDOWS\explorer.exe
  PID: 1044
  信息： Windows Explorer (Microsoft Corporation)
对象：
  路径： C:\WINDOWS\explorer.exe
  信息： Windows Explorer (Microsoft Corporation)

病毒释放并注册odbcasvc.exe，盘下出现autorun.inf，指向为回收站里的INFO.EXE（垃圾手法）因为INFO.EXE在回收站，所以搜索不到。其他：未见病毒连接外网，未见病毒感染*.exe;*.com;*.htm;*.chm文件等，即病毒不带感染性。

下面是解毒过程，第一步当然是关进程odbcasvc.exe，接着锁msvbvm60.dll这个是必须的，当拿到病毒样本运行到第二步的时候我就知道解这个毒的关键是锁msvbvm60.dll。显然这个病毒需要VB6驱动，所以打蛇先打头把他给锁了。锁法如下图。记得重启一次，我重启的时候有蓝屏，不过第二次就可以进去了。

接下来一切都简单了，死病毒一个。删除生成的文件，还原注册表，关闭服务。如图。删除所有目录下的autorun.inf。接着删除INFO.EXE主体，也就是躲在回收站里的那个,可以这么看到。怎么删除就忘记了，记得以前在学校机房的时候就是这么藏游戏的，删除，想不起来了。。。

如图

还是如图，虽然不记得怎么删除了，不过这个病毒是真死掉了，死在回收站里，可怜啊。。。谁教俺怎么删。。？

mopery 教我反编译。
to 花花公子与小赖虫 去掉简单文件共享

当然，，因为我也想学，还是反编译舒服些，像我这么弄麻烦。。

。。。。。。。。这个。。汗。。。怎么会不行呢？在XP PRO 和2000服务器版里都可以呀

你发张贴出去问问嘛。

工作了，5点半来。。嘻嘻。跑了