（2）删除病毒文件
%System32%\z6FVkEF47huPzgaXee.inf
%Downloaded Program Files%\WQKrDGnXQQb3Mgjk.Ttf

（3）删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}

将截取到游戏账户信息以ULR方式通过以下参数回传到作者地址中
?a=%s&u=%s&c=%s&mb=%s

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

1、文件运行后会释放以下文件
%System32%\z6FVkEF47huPzgaXee.inf
%Downloaded Program Files%\WQKrDGnXQQb3Mgjk.Ttf

2、新增注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}\InprocServer32\@
值: 字符串: "C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf"
描述：添加病毒注册表CLSID值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Explorer\ShellExecuteHooks\{74DA2FEC-F68F-4DC7-9A45-9174AC044427}
值: <值未设置>描述：添加病毒HOOK启动项

3、获取进程ID，删除%System32%目录下的verclsid.exe文件，查找游戏配置文件内"userdata\currentserver.ini匹配字串，匹配以下字串，获取用户所在游戏服务器的相关信息，如找到则安装消息钩子：
.link.zhuxian**.com.cn
.link.wulin2**.cn
.link.w2i**.com.cn
.link.world2**.cn
.link.kdxy**.com
.link.chibi**.com
5060f644-3e01-4775-8435-4609bb690966

4、试图截取含有以下标题的窗口保存为.jpg图片并通过URL方式发送到作者地址中
notepad本、acdsee、图片和传真、光影看看、密保、internet explorer