其实，这个病毒RIS2010早就报了（Trojan.Win32.Generic.12053A2D）。

此毒在WINDOWS 7下基本不能运行，也不能改写MBR。

为了揭开此毒的神秘面纱，看看它什么德行，俺只好重启到WINOWS XP下，看看它到底搞了些啥鬼花活。

一、XP环境下实机运行病毒的结果：

1、双击病毒程序chajiangengxin.exe后，它在当前用户临时文件夹中释放一个xxx.txt文件。此处x代表阿拉伯数字。虽然是txt文档，但它却是可执行程序。不信？查看其MD5并与它“老爸”对比（图1）：




2、这病毒跟中招用户玩儿“障眼法”，汗！以致不少人认为“中此毒后的一个特征是windows\temp目录下反复出现alg.exe或ali.exe”。其实不是这么回事。看看病毒进程就明白了（图2、图3）：






3、chajiangengxin.exe运行后多次访问网络（图4）




4、中招后，MBR确实被此毒改写了。图5为运行此毒前的MBR；图6为此毒运行后的MBR。






5、该毒运行访问网络后，不知咋的就报错了！汗！（图7）



6、此毒改写过的win.ini（图8）：



7、此毒释放的文件（图9）：



8、此毒运行后的注册表改动（图10）：



用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.10

二、手工收拾残局：

1、断网。结束病毒进程。删除win.ini。

2、删除病毒释放的文件，并用工具打扫注册表垃圾。

3、恢复MBR。这步操作要仔细、小心，不要搞错。可用BOOTICE之类的工具（操作见下图）。注意：我的电脑是XP＋WINDOWS 7双系统，所以在下图中勾选最后一个复选框。如果系统是XP，请勾选下图中的倒数第二个复选框。







4、重启。重启后核对一下MBR，无误。OK！

看图7-图8