在Thinkpad T60p本本上搞了搞，终于能运行你的样本了。

此毒运行后，我U盘中保存的唯一可执行文件explorer.exe由995K变为1156K；图标变花（图）。用SSM禁止病毒程序LSASS.EXE和SMSS.EXE运行后，U盘中的染毒文件以及autorun.inf、pagefile.pif均可直接删除。

由于我的本本只有一个分区，其它分区的文件感染情况无法观察。估计pagefile.pif同样会感染系统分区以外的.exe文件。

此外，此毒释放下列文件（可用XDELBOX删除）：
C:\windows\system32\com\LSASS.EXE
C:\windows\system32\com\SMSS.EXE
C:\windows\system32\com\netcfg.000
C:\windows\system32\com\netcfg.dll
注：多分区硬盘，可能还会有：
C:\autorun.inf
C:\pagefile.pif
D:\autorun.inf
D:\pagefile.pif
E:\autorun.inf
E:\pagefile.pif
F:\autorun.inf
F:\pagefile.pif
.
.
.
.
这个毒有点儿意思。运行后，IceSword、SRENG等常用工具基本报废（虽然能运行这些工具，但不能执行任何实际操作。）
用SSM禁止C:\windows\system32\com\LSASS.EXE和C:\windows\system32\com\SMSS.EXE运行后，上述工具才能正常使用。

SRENG日志所见异常如下：
==================================
正在运行的进程

[PID: 2856 / baohelin][C:\windows\system32\com\LSASS.EXE]  [N/A, ]
    [C:\windows\system32\PROCHLP.DLL]  [Lenovo Group Limited, 2, 0, 6, 0]
    [C:\Program Files\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll]  [Lenovo Group Limited, 2.0.0]

[PID: 2116 / baohelin][C:\windows\system32\com\SMSS.EXE]  [N/A, ]
    [C:\windows\system32\PROCHLP.DLL]  [Lenovo Group Limited, 2, 0, 6, 0]
    [C:\Program Files\Lenovo\Client Security Solution\tvtpwm_windows_hook.dll]  [Lenovo Group Limited, 2.0.0]

==================================
Autorun.inf
N/A
==================================
进程特权扫描

特殊特权被允许： SeLoadDriverPrivilege [PID = 2856, C:\WINDOWS\SYSTEM32\COM\LSASS.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2116, C:\WINDOWS\SYSTEM32\COM\SMSS.EXE]

==================================

病毒篡改的注册表内容如下：
HKEY_CLASSES_ROOT\CLSID\  添加了{D9901239-34A2-448D-A000-3705544ECE9D}
HKEY_CLASSES_ROOT\CLSID\    添加了{C50EC9C4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_CLASSES_ROOT\Component Categories\    添加了{7DD95801-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\Component Categories\    添加了{7DD95802-9882-11CF-9FA9-00AA006C42C4}
HKEY_CLASSES_ROOT\    添加了IFOBJ.IfObjCtrl.1
HKEY_CLASSES_ROOT\Interface\    添加了{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_CLASSES_ROOT\Interface\    添加了{AAC17985-187F-4457-A841-E60BAE6359C2}
HKEY_CLASSES_ROOT\TypeLib\      添加了{814293BA-8708-42E9-A6B7-1BD3172B9DDF}


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了IMAIL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了MAPI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\    删除了MSFS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\      删除了{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\      删除了{4D36E967-E325-11CE-BFC1-08002BE10318}



[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

引用:

【newcenturymoon的贴子】这个东西还会感染压缩包内的exe文件 不知猫叔发现没有 最近很流行的说 ………………

压缩包中的文件感染观察到了。病毒先在c:\windows\system32\com\文件夹中创建一个与被感染压缩包同名的.bak，接着，估计是该搞那些文件了；然后，又将搞过鬼的压缩文件放回原处，再删除c:\windows\system32\com\文件夹中那个同名的.bak

引用:

【过客2007的贴子】这毒比较牛啊.. 把瑞星监控都给弄没了。/。 我先按着猫叔的删除那些多余的注册表试试。。 ………………

汗！
我是开着瑞星玩儿的。
病毒、瑞星————二者相安无事。

引用:

【UFO不幸外人的贴子】晕死……  但是这个病毒还删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面的内容  我虚拟机炮出来的 ………………

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了IMAIL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了MAPI
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\ 删除了MSFS

引用:

【孤独更可靠的贴子】 哈哈，这东西没有任何启动项啊，依附被感染程序执行的 前几个星期有遇到个，最近可能又疯狂更新了~ ………………

有启动项。
如果用恰当的工具（具体的工具名就不说了）阻止病毒程序LSASS.EXE和SMSS.EXE运行，重启系统后，那工具会报告C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe试图加载运行。用该工具阻止~.exe运行，即可捉到~.exe这个“鬼”。
此时，用SRENG，可见“启动文件夹”栏下有指向C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe的内容。
我推测：这个启动加载项可能是关机前写入，或者是每次系统启动时重新写入；待~.exe加载运行并完成其任务后，该加载项连同那个~.exe又被病毒程序删除了。
所以，如果不用特殊手段，一般情况下，即使SRENG侥幸能够运行，中毒的用户用SRENG也扫不到此毒的加载项。