如今，磁碟机病毒至今已有多个变种，被感染的系统将会从互联网中下载其它木马下载器，比如AV终结者，中毒后的典型表现是众多病毒木马混合感染，其中下载的ARP病毒会对局域网产生严重影响。


典型磁碟机破坏的表现
1.注册全局HOOK，扫描含有常用安全软件关键字的程序窗口，发送大量消息，致使安全软件崩溃
2.破坏文件夹选项，使用户不能查看隐藏文件
3.删除注册表中关于安全模式的值，防止启动到安全模式
4.创建驱动，保护自身。该驱动可实现开机删除自身，关机创建延迟重启的项目实现自动加载。
5.修改注册表，令组策略中的软件限制策略不可用。
6.不停扫描并删除安全软件的注册键值，防止安全软件开机启动。
7.在各磁盘创建autorun.inf和pagefile.pif，利用双击磁盘或插入移动设备时自动运行功能传播。
8.将注册表的整个 RUN 项及其子键全部删除，阻止安全软件自动加载
9.释放多个病毒执行程序，完成更多任务
10.病毒通过重启重命名方式加载，位于注册表HKEY_LOCAL_MACHINESYSTEMControlSet001ControlBackupRestoreKeysNotToRestore下的Pending RenameOperations字串。
11.感染除system32目录外的其它EXE文件（病毒感染行为不断进化，从感染其它分区到感染系统分区），最特别的是病毒还会解包RAR文件，感染其中的EXE之后，再打包成RAR。
12.下载大量木马到本地运行，用户最终受损情况，决定于这些木马的行为。

　　磁碟机的一般处理方法

1、先运行“磁碟机瘫痪工具”csrss.exe
2、磁碟机被这个csrss.exe瘫痪后，IceSword等工具已可正常使用。用IceSword或WINRAR找到并删除系统分区的下列病毒文件（这是常见的系统装在C分区的病毒文件位置；系统装在其它分区者请注意自己的系统盘符）：
C:\037589.log
C:windowssystem32205016.log（这个.log文件名的数字部分可能有变化）
C:windowssystem32comLSASS.EXE
C:windowssystem32comSMSS.EXE
C:windowssystem32comnetcfg.000
C:windowssystem32comnetcfg.dll
C:windowssystem32dnsq.dll（动态插入应用程序进程）
C:Documents and SettingsAll Users「开始」菜单程序启动～.exe
C:Documents and Settings当前用户名「开始」菜单程序启动～.exe
各分区根目录下的：
autorun.inf和pagefile.pif
3、用专杀或升级杀软病毒库后查杀非系统分区的被感染文件。
瘫痪磁碟机工具的运行界面

附症状：

症状1、系统安装在C盘的，用WINRAR可以看到磁碟机病毒释放的文件（目前为止，磁碟机病毒主体文件名及其路径是固定的）：
C:\037589.log
C:windowssystem32205016.log（这个.log文件名的数字部分可能有变化）
C:windowssystem32comLSASS.EXE
C:windowssystem32comSMSS.EXE
C:windowssystem32comnetcfg.000
C:windowssystem32comnetcfg.dll
C:windowssystem32dnsq.dll（动态插入应用程序进程）
C:Documents and SettingsAll Users「开始」菜单程序启动～.exe
C:Documents and Settings当前用户名「开始」菜单程序启动～.exe
各分区根目录下还会有：
autorun.inf和pagefile.pif

症状2、感染磁碟机后，IceSword、SRENG等常用工具不能正常运行。