一、 病毒首次運行時將顯示"This File Has Been Damage!"; 二、 將自己復制到windows目錄下並改名為Mstray.exe; 三、 修改注冊表: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 以達到其自啟動的目的; 四、 枚舉磁盤目錄,在每個根目錄下釋放下列文件: winfile.exe 病毒主體程序 comment.htt 利用IE漏洞調用同一個目錄下的"winfile.exe",屬性為隱藏。 desktop.ini 系統為隱藏。采用web方式浏覽文件夾時,,系統會調用該文件,該文件調 用comment.htt ,從而激活病毒。 五、 病毒修改注冊表,隱藏系統文件、隱藏受系統保護的文件、隱藏已知的擴展名稱。 這樣,用戶看不到comment.htt和Desktop.ini, winfile.exe被隱藏後綴明,又是文件 夾圖標,用戶極容易認為是文件夾而點擊。 同時病毒在當前路徑下生成的自身拷貝,名稱采用上級目錄,或者是當前窗口的標題, 增加隱蔽性。 六、病毒調用Outlook發送攜帶病毒的信件。 手工清除:(在沒有殺毒軟件的情況下) 首先:找到Mstray.exe(注意這個是系統 和隱藏的文件,所以大家應該知道怎 麼才能找到它了,在系統文件夾下), 刪除掉. 並修改注冊表,去掉對應的啟動項. 接著:利用的Windows的搜索功能,搜索所 有的: Winfile.exe,comment.htt, desktop.ini(注意:查看->去掉系 統保護,去掉隱藏) 刪除!注意還得清楚不要刪錯了哦! 有些desktop.ini是windows原有 的文件) 最後:查找硬盤內所以的[*.exe]文件, (注意:如上),你會發現好多的文件夾 圖標形式的.exe 文件,刪除掉所有 這些文件.一切OK!
