電腦提示Your computer is infected!

 右下角出現一個紅色帶白色叉的表徵圖提示Your computer is infected!
                            Windows has detected spyware infection
                            It is recomended to use special antispyware tools to pervent
                            data loss.Windows will now downlond and install the most
                            up-to-date antispyware for you.
                            Click here to protect you computer from spyware!

中文翻譯：
windows檢測到有間諜軟體侵入！要使用特殊的反間諜工具防止資料丟失。windows準備為你下載安裝wost-up-date反間諜功能軟體。

Win32.Troj.GuiseAV.ak.28672

病毒名稱(中文): 惡毒保安28672 病毒別名:

威脅層級:★☆☆☆☆ 

病毒類型:駭客程式              病毒長度: 28672

影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為:

這是一個偽裝成安全軟體的惡意程式，運行後修改註冊表中安全設定項，同時恐嚇使用者系統中已發現惡意軟體，稱必須下載安裝其指定的安全工具。
1.病毒運行後首先檢測註冊表是否存在如下項，判斷系統是否已被感染：
HKLM"Software"WinReanimator"license；
檢測如下位置判斷是否有同類“產品”進駐系統:
HKLM"SoftWare"XP_SecurityCenter"license
HKLM"SoftWare"WinAntispyware2008"license
發現存在以上索引值時，病毒進程結束。
2.查詢登錄機碼HKLM"SOFTWARE"Microsoft"Windows"CurrentVersion"ProgramFilesDir擷取應用程式安裝路徑，判斷是否存在%ProgramFiles%"XP_SecurityCenter"XP_SecurityCenter.exe檔案，同樣，若存在該檔案，進程結束。
3.修改註冊表如下索引值,降低Internet Exporer的安全設定
HKLM"SOFTWARE"Microsoft"Windows"CurrentVersion"Internet Settings"Zones"0
"1200"=0
"1201"=0
"1208"=0
"1608"=0
"1804"=1

4.修改以下登錄機碼，減低系統安全設定 HKLM"SOFTWARE"Microsoft"SecurityCenter""AntiVirusDisableNotify" = "01000000"
HKLM"SOFTWARE"Microsoft"SecurityCenter""FirewallDisableNotify" = "01000000"
HKLM"SOFTWARE"Microsoft"SecurityCenter""UpdatesDisableNotify" = "01000000"
HKCU"SOFTWARE"Microsoft"SecurityCenter""AntiVirusDisableNotify" = "01000000"
HKCU"SOFTWARE"Microsoft"SecurityCenter""FirewallDisableNotify" = "01000000"
HKCU"SOFTWARE"Microsoft"SecurityCenter""UpdatesDisableNotify" = "01000000"
HKLM"SYSTEM"CurrentControlSet"Services"SharedAccess"Parameters"FirewallPolicy"Standa
rdProfile"EnableFirewall" = "00000000"
5. 刪除系統中的所有BHO外掛程式，修改登錄機碼
HKCU"Software"Microsoft"InternetExplorer"Main""EnableBrowserExtensions" = "yes"
HKCU"Software"Microsoft"InternetExplorer"Main""SearchBar" = "http://www.google.com/ie"
HKCU"Software"Microsoft"InternetExplorer"Main""SearchPage" = "http://www.google.com"
HKCU"Software"Microsoft"InternetExplorer"Main""StartPage" = "http://www.google.com"
HKLM"Software"Microsoft"InternetExplorer"Main""Default_Search_URL" = "http://www.google.com/ie"
HKLM"Software"Microsoft"InternetExplorer"Main""SearchPage" = "http://www.google.com"
HKLM"Software"Microsoft"InternetExplorer"Main""StartPage" = "http://www.google.com"
HKLM"Software"Microsoft"InternetExplorer"Search""SearchAssistant" = http://www.google.com/
6.從指定地址下載檔案http://virus-q***k-s**n.com/?wmid=1049&l=12&it=2&s=7，儲存為%windir%"system32"winivstr.exe(已無法下載);
7.在系統托盤區彈出警告視窗，顯示"Your computer is infected………………"，恐嚇使用者電腦已被病毒感染，需要安裝該安全軟體，當使用者點擊該視窗時即運行檔案winivstr.exe。