brontok

病毒名叫Brontok，瑞星对它的编码为worm.mail.brontok.bm，它在我电脑（比如我的文档，我的图片里）许多关键的地方复制了自己，把自己伪装成视窗自带的文件，命令在每次开机时运行它，在可能对自己造成危险时重新启动（这就是无法更新瑞星的原因），在我的电脑里收集邮箱地址，没事就发发邮件。该病毒为了防止被删除，删除了 打开我的电脑后， 工具－〉文件夹选项。使人不能察看隐藏文件。（、如果你输入病毒所在的路径，试图手工清除，该病毒会迫使电脑立刻重新启动；在打开命令行窗口时也会重新启动）。

引用别人一段话来说明该病毒所在路径：文中所有的 %System% 字眼，是你安装windows得途径。通常是

C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000),

C:WindowsSystem32 (Windows XP).

%UserProfile% 则是你的用户名以下的文件，通常在

C:Documents and Settings[你的windows用户名] (Windows NT/2000/XP).

举例：

当你看到 %UserProfile%APPDATAwinlogon.exe

通常是指 C:Documents and Settings[你的windows用户名]APPDATAwinlogon.exe

同样的， %System%3D Animation.scr

在XP是指 C:WindowsSystem32 Animation.scr

而如果你用win98，它则是 C:WindowsSystem3D Animation.scr

因为病毒会侵入各种版本的windows，所以病毒所在的途径也很难根据各个版本来写出，所以用 %System% 来代替。

其他描述：

当你不小心开到感染了病毒的文件，它会自动在这几个地方加入它的病毒文件

C:WindowsPIFCVT.exe

%UserProfile%APPDATAIDTemplate.exe

%UserProfile%APPDATAservices.exe

%UserProfile%APPDATAlsass.exe

%UserProfile%APPDATAinetinfo.exe

%UserProfile%APPDATAcsrss.exe

%UserProfile%APPDATAwinlogon.exe

%UserProfile%ProgramsStartupEmpty.pif

%UserProfile%TemplatesA.kotnorB.com

%System%3D Animation.scr

注

%System% 是你安装windows的途径. 通常是

C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000),

C:WindowsSystem32 (Windows XP).

%UserProfile% 则是你的用户名以下的文件，通常在

C:Documents and Settings[你的windows用户名] (Windows NT/2000/XP).

然后会创出这个folder

%UserProfile%Local SettingsApplication DataBron.tok-24

然后会在 C:Autoexec.bat 写上

"pause" 覆盖之前的内容

然后会在注册表内添加内容

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

"Tok-Cirrhatus" = "%UserProfile%APPDATAIDTemplate.exe"

"Bron-Spizaetus" = "C:WINDOWSPIFCVT.exe"

(这个记得要删除)

如果感染了，registry会被锁