此文原发表于:2009-04-29 21:34

下午准备封装Office 2007 SP2的时候碰见一病毒，简要说下清除过程
分析：
注意到的行为有
病毒主体cao.exe运行后在各盘符根目录下（包括U盘）建立Autorun.inf文件（可以确认的是，第一代Autorun.inf免疫方式无效），同时生成cao.exe文件，往C:\Program Files\Common Files\下写入cao.exe，写注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 添加开机自启动，添加印象劫持，让多种安全工具无法运行，监视窗口标题，Autorun.inf 文件打开自动关闭，Wsyscheck不能运行，甚至用WinRAR 解压时也被关闭，监视病毒文件，监视注册表即使生成病毒文件添加启动项
清除过程
开始，运行，msconfig.msc，查看到病毒启动项cao.exe，手动删除病毒文件立即生成，于是转用wsyscheck，双击打开时被病毒关闭，改名后选择解压到文件夹，再改名文件夹，打开文件夹继续改名，双击终于能运行，进程里没有找到可疑的（我不认识...),文件管理选项卡找到对应文件删除后继续生成...期间使用最新的卡巴病毒移除工具能查杀病毒，但不能根除，于是撤下它留待最后拿来检查吧，继续wsyscheck，选中禁止删除文件重建以及删除后锁定文件，到活动文件选项卡选中所有的autorun.inf及cao.exe，删除...待会刷新后居然还有cao.exe的踪影.....疑惑..来狠的，注册表，做了个cao.exe 的映像劫持，让他自己也运行不了...删除文件，怎么还在运行....于是估计显示问题，重启...OK，重新用工具检测一下，SREng修复几个关联错误，提示很多红红的映像劫持项...Wsyscheck 全选修复，再添加cao.exe的映像劫持（下次就放心双击它了），重新检查下原来有病毒的位置，注册表管理里删掉对应的run值，又发现很多工具不能运行了...检查注册表，没问题....检查对应程序....没问题.....没办法，用卡巴病毒移除工具重新扫描，都没问题了，卸掉，提示重启，重启之，没有病毒的踪影了....

最近由于微软对windows7的保密要求，在分发的ISO文件中都加有”水印“，于是泄露的就只好是重新解压后的散装文件了
由于一些其他方面的需要（譬如要刻盘等）需要将文件重新做成可引导的ISO文件才可以，介绍一下方法
这里用cdimage 2.54 （官方也是这个嘛），以封装7127版本为例
1，首先下载这个  我的网盘下载
解压后放到 系统盘符下的windows\system32\下，或者放到其他目录都可以，譬如，放到D盘根目录下
2，将散装文件解压，我将其解压到了 D:\Download\client_zh-CN_7127
3，打开命令提示符（Vista或7的最好使用管理员权限打开），然后定位到cdimage.exe所在目录，我定位到D盘下
4，输入命令
cdimage -lGRMCULFRER_CN_DVD -h -u2 -bD:\Download\client_zh-CN_7127\boot\etfsboot.com D:\Download\client_zh-CN_7127 d:\7127.0.090507-1820_x86fre_client_zh-cn_Retail_Ultimate-GRMCULFRER_CN_DVD.iso

回车，等到完成百分百即可在D盘根目录生成可引导的ISO文件

注意，一定保证D盘剩余空间足够，请参照以上修改自己的参数

代码中-l后跟的是卷标名称，-h为包含隐藏文件和目录，-u2 使用UDF编码，拒绝 ISO-9660 规则，-b后是引导文件 然后依次为要封装的目录以及封装好的ISO文件保存位置及文件名

用UltraISO打开此ISO文件显示为可启动UDF，能够刻盘引导系统的(如图）

另外，请注意：务必先使用虚拟机验证后再去刻盘等

更详细点的cdimage封装ISO操作请到我网易博客中看下这篇文章：

http://bpcr.blog.163.com/blog/static/3901962420093115365837/