1、释放下列病毒文件。病毒文件名随机（图1）。

2、添加下列注册表项（图2）。

3、感染非系统分区可执行文件。被感染文件图标变为.rar文件图标。

4、删除安全模式。

杀毒：

1、结束病毒进程。
2、删除病毒文件。
3、清理注册表。
4、被感染文件暂勿用，等杀软升级后处理。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; (R1 1.5); InfoPath.1)

感染非系统分区可执行文件。被感染文件图标变为.rar文件图标

终于找到原因了，前几天有朋友提过类似问题……

清理注册表，是不是就是把列出来的四个键值删除呢？

对

可以直接用电脑的注册表编辑器

sreng也可以

能说详细点吗  我是菜鸟  看不懂你说的 有不知道怎么弄

以下是病毒体中感染文件的子函数内容：

传入的参数是文件完整路径。
00401AAD  /$  B8 A42B4000  mov    eax, 00402BA4
00401AB2  |.  E8 C90C0000  call    <jmp.&MSVCRT._EH_prolog>
00401AB7  |.  56            push    esi
00401AB8  |.  68 70404000  push    00404070                                                    ; /mode = "rb+"
00401ABD  |.  FF75 08      push    dword ptr [ebp+8]                                          ; |path
00401AC0  |.  FF15 48324000 call    dword ptr [<&MSVCRT.fopen>]                                ; \fopen
00401AC6  |.  8BF0          mov    esi, eax
00401AC8  |.  59            pop    ecx
00401AC9  |.  85F6          test    esi, esi
00401ACB  |.  59            pop    ecx
00401ACC  |.  74 1E        je      short 00401AEC
00401ACE  |.  56            push    esi                                                        ; /stream
00401ACF  |.  FF35 20404000 push    dword ptr [404020]                                          ; |n = 6000 (24576.)
00401AD5  |.  6A 01        push    1                                                          ; |size = 1
00401AD7  |.  68 38464000  push    00404638                                                    ; |ptr = Launcher.00404638
00401ADC  |.  FF15 54324000 call    dword ptr [<&MSVCRT.fwrite>]                                ; \fwrite
00401AE2  |.  56            push    esi                                                        ; /stream
00401AE3  |.  FF15 4C324000 call    dword ptr [<&MSVCRT.fclose>]                                ; \fclose
00401AE9  |.  83C4 14      add    esp, 14
00401AEC  |>  834D FC FF    or      dword ptr [ebp-4], FFFFFFFF
00401AF0  |.  8D4D 08      lea    ecx, dword ptr [ebp+8]
00401AF3  |.  E8 C20A0000  call    <jmp.&MFC42.#800_CString::~CString>
00401AF8  |.  8B4D F4      mov    ecx, dword ptr [ebp-C]
00401AFB  |.  5E            pop    esi
00401AFC  |.  64:890D 00000>mov    dword ptr fs:[0], ecx
00401B03  |.  C9            leave
00401B04  \.  C3            retn

看完这一段，就很明显了，病毒将从自身文件中读取出来的前0x6000字节内容，覆盖了被感染文件的最前方。这样就没有修复的可能了。

死了哩

这个感染型的病毒，在360论坛喊的特别多。

还是不中着毒为好。否则一塌糊涂。

比较BS这样的，不会感染就别玩，居然来个覆盖，使得文件没有办法修复，比熊猫烧香恶劣多了，怀疑这作者有病

覆盖掉了....真够恶毒的
修复不了了...

找找是哪个死人发的，可恶！