1、可执行文件（.exe）的图标失效
病毒从Z盘开始向前搜索所有可用分区中的exe文件，然后感染所有大小27kb-10mb的可执行文件，感染完毕在被感染的文件夹中生成: _desktop.ini (文件属性:系统、隐藏。)

2、出现logo_1.exe进程
运行被感染的文件后，病毒将病毒体复制到为以下文件: %SystemRoot%\logo_1.exe

3、出现rundl132.exe进程
病毒运行后将自身复制到Windows文件夹下,文件名为:%SystemRoot%\rundl132.exe
并写入注册表：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "load"="C:\\WINNT\\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\rundl132.exe"

瑞星、金山毒霸等各类杀毒软件失效
枚举以下杀毒软件进程名，查找到后终止其进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
同时病毒尝试利用以下命令终止相关杀病毒软件：
net stop "Kingsoft AntiVirus Service"

C盘根目录出现1.txt
当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.txt 保存为:c:\1.txt
http://www.17**.com/gua/wow.txt 保存为:c:\1.txt
http://www.17**.com/gua/mx.txt 保存为:c:\1.txt

系统目录出现sy.exe 1sy.exe 2sy.exe文件
当外网可用时，被注入的dll文件尝试连接以下网站下载并运行相关程序:
http://www.17**.com/gua/zt.exe 保存为:%SystemRoot%\Sy.exe
http://www.17**.com/gua/wow.exe 保存为:%SystemRoot%\1Sy.exe
http://www.17**.com/gua/mx.exe 保存为:%SystemRoot%\2Sy.exe
注：三个程序都为木马程序

在C:\winnt 或是c:\windows目录里生成Logo1_.exe , rundl132.exe,bootconf.exe几个文件