运行mplay.pif后
在c:\释放myDelm.bat
C:\WINDOWS\释放winsys.ini
C:\WINDOWS\system32\释放
AlxRes061209.exe
scrsys061209.scr
scrsys16_061209.dll
scrsys16_061209.scr
winsys12_061209.scr
winsys12_061209.dll
当mplay.pif再次运行还会在 C:\WINDOWS\system32释放
winsys32_061209.dll
scrsys16_061209.scr
scrsys16_061209.dll
每释放一个文件，都会写一次winsys.ini

修改注册表：
1： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ 将Userinit由原来的userinit.exe,改成userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_061209.dll start
2： 在HKLM\SOFTWARE\Microsoft\Command Processor\创建"AutoRun"="d:\mplay.pif"
此目的是达到运行.bat文件时运行这个病毒。

中毒后的症状：在D：下会发现一个隐藏的mplay.pif

查杀流程：
1:结束进程AlxRes061209.exe
2:删除上述释放的文件
3:修改注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit  为userinit.exe,
删除HKLM\SOFTWARE\Microsoft\Command Processor\AutoRun

在注册表中搜所mplay.pif，将搜所到的结果删除。

2： 在HKLM\SOFTWARE\Microsoft\Command Processor\创建"AutoRun"="d:\mplay.pif"
此目的是达到运行.bat文件时运行这个病毒。

这又是一咱病毒被激活的方法，与以前的rose病毒有所没，rose是能过双击硬盘来达到运行的目的，而这个病毒是能过运行.bat来达到激活的目的，以前在运行.bat 文件时可要注意是不是黑屏一闪已经运行了别的程序。