WINFILEgy

【描述】一、 病毒首次運行時將顯示"This File Has Been Damage!"；

二、 將自己複製到windows目錄下並改名為Mstray.exe；

三、 修改註冊表： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run 以達到其自啟動的目的；

四、 枚舉磁碟目錄，在每個根目錄下釋放下列檔案：winfile.exe 病毒主體程式 comment.htt 利用IE漏洞調用同一個目錄下的"winfile.exe"，屬性為隱藏。desktop.ini 系統為隱藏。採用web方式瀏覽資料夾時，系統會調用該檔案，該檔案調用comment.htt ，從而激活病毒。

五、 病毒修改註冊表，隱藏系統檔案、隱藏受系統保護的檔案、隱藏已知的擴展名稱。 這樣，用戶看不到comment.htt和Desktop.ini， winfile.exe被隱藏後綴明，又是資料夾圖示，用戶極容易認為是資料夾而點擊。 同時病毒在當前路徑下生成的自身拷貝，名稱採用上級目錄，或者是當前視窗的標題， 增加隱蔽性。

六、病毒調用Outlook傳送攜帶病毒的信件。

【手工清除】:(在沒有防毒軟體的情況下)

首先:找到Mstray.exe(注意這個是系統

和隱藏的檔案,所以大家應該知道怎

么才能找到它了,在系統資料夾下),

刪除掉.

並修改註冊表,去掉對應的啟動項.

接著:利用的Windows的搜尋功能,搜尋所

有的:

Winfile.exe,comment.htt,

desktop.ini(注意:查看->去掉系

統保護,去掉隱藏)

刪除!注意還得清楚不要刪錯了喔!

有些desktop.ini是windows原有

的檔案)

最後:查找硬碟內所以的[*.exe]檔案,

(注意:如上),你會發現好多的資料夾

圖示形式的.exe 檔案,刪除掉所有

這些檔案.一切OK!