病毒生成如下文件： Code: 　　C:\WINDOWS\system32\1.inf 　　C:\WINDOWS\system32\chostbl.exe 　　C:\WINDOWS\system32\lovesbl.dll 　　在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 　　注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 　　启动类型：自动 　　显示名称：A GooD DownLoad    CAHW 　　调用TerminateProcess函数关闭如下进程 Code: 　　360safe.exe 　　360tray.exe 　　runiep.exe 　　avp.exe 　　调用GetWindowsTextA函数 获得当前窗口标题，并调用PostMessageA函数试图发送WM_CLOSE,WM_DESTROY,WM_QUIT指令关闭带有如下字样的窗口 Quote: 　　卡卡 　　江民 　　金山 　　任务管理器 　　木马清道夫 　　木马克星 　　超级巡警 　　NOD32核心 　　安全 　　安全卫士 　　木马杀客 　　NOD32 　　内核 　　OD 　　微点 　　调用FindWindowA函数查找如下窗口 并试图调用PostMessageA函数向其发送WM_CLOSE指令 关闭窗口 Quote: 　　AVP.AlertDialog 　　AVP.Product_Notification 　　AVP.Product_Noti 　　调用cmd.exe 执行net stop sharedaccess命令 关闭Windows自带的防火墙服务 　　C:\WINDOWS\system32\lovesbl.dll插入svchost.exe进程  　　利用svchost.exe执行下载木马操作 　　 Code: 下载http://218.61.18.*/hao.exe 　　http://218.61.18.*/wei.exe 　　http://218.61.18.*/haowei.exe 　　（ip地址为辽宁大连网通） 　　到C:\Documents and Settings下面 并分别命名为servciesa.exe~servciesc.exe，下载间隔200ms 　　 　　测试中http://218.61.18.*/haowei.exe（servciesc.exe）链接已失效 　　servciesa.exe为一感染下载者 　　下载http://rrr.*.cn/m1.exe~http://rrr.*.cn/m3.exe，但下载链接已失效 　　感染除以下文件夹下的exe文件 　　 Quote: WINDOWS 　　WINNT 　　RECYCLE 　　System Volume Information 　　Internet Explorer 　　Outlook Express 　　NetMeeting 　　Common Files 　　Messenger 　　Windows Media Player 　　WinRAR 　　MSOCache 　　Documents and Settings 　　被感染文件被加入593字节的内容 图表不变 感染方式还得请高手来指教... 　　servciesb.exe 　　注册服务WindowsRemote  　　启动类型：自动 　　显示名称：Windows Accounts Driver 　　也是一个木马下载者 但下载链接失效 　　病毒全部动作完毕以后，sreng日志如下： 　　服务 Code: [A GooD DownLoad    CAHW    / AnHao_VIP_CAHW][Running/Auto Start] [Windows Accounts Driver / WindowsRemote][Stopped/Auto Start] ================================== Autorun.inf [C:\] [autorun] OPEN=sbl.exe shellexecute=sbl.exe shell\Auto\command=sbl.exe shell=open [D:\] [autorun] OPEN=sbl.exe shellexecute=sbl.exe shell\Auto\command=sbl.exe shell=open ... 　　 手动解决方法： 　　下载sreng 打开解压后运行srengps.exe 　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”， 选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”： Code: A GooD DownLoad    CAHW    / AnHao_VIP_CAHW Windows Accounts Driver / WindowsRemote 　　重启计算机 　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示 　　确定更改时，单击“是” 然后确定 　　点击    菜单栏下方的 文件夹按钮（搜索右边的按钮)