网民在进行网络活动时，经常会遇到系统时间被改，文件被隐藏，甚至各个盘符打不开 ，而杀毒软件却因为系统时间的关系形成无法启动，虽然可以通过重装系统来解决，但重装过后的计算机病毒还是会在用户不小心时进驻系统，发作时将直接导至用户机为病毒木马敞开了大门，以至于让更多的木马病毒感染用户机。
　　病毒启动文件分析

　　该病毒名为Worm.Win32.AutoRun.bqn属于蠕虫病毒，病毒虽然只有21，504（字节），但其危力却不容任何人小视。病毒一但进入到用户计算机，首先会在主分区 %SystemRoot%\下释放出副本文件EXPL0RER.EXE可执行程序及autorun.inf文件，其内容如下：

　　[autorun]
　　open=EXPL0RER.EXE
　　shell\open=打开（&O）
　　shell\open\Command=EXPL0RER.EXE
　　shell\open\Default=1
　　shell\explore=资源管理器（&X）
　　shell\explore\Command=EXPL0RER.EXE

　　病毒运行后，将根据文件夹名来感染生成对应的文录名.exe文件，随后自动修改生成的文件夹属性为只读、系统、隐藏式，实现将自身隐匿的效果，而用户看到的文件夹图标的都是病毒所修改后的图标，让其无法查觉真实的病毒。

　　注册表对比

　　此时病毒依然按照套路篡改注册表，以达不显示隐藏文件、系统文件和扩展名的效果，让用户在点击：工具-文夹件选项—查看—显视所有文件和文件夹时无法查看隐藏文件，更无从删除的目的。其注册表对应变化如下：

　　修改前 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: ""C:\WINDOWS\hh.exe" %1"　　

　　修改后 HKLM\SOFTWARE\Classes\chm.file\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"

　　修改前 HKLM\SOFTWARE\Classes\Directory\shell\: "none"

　　修改后 HKLM\SOFTWARE\Classes\Directory\shell\: "open"

　　修改前 HKLM\SOFTWARE\Classes\Drive\shell\: "none"

　　修改后 HKLM\SOFTWARE\Classes\Drive\shell\: "open"

　　修改前 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "regedit.exe "%1""

　　修改后 HKLM\SOFTWARE\Classes\regfile\shell\open\command\: "C:\WINDOWS\EXPL0RER.EXE %1"

　　修改前HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000002

　　修改后 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue: 0x00000003

　　修改前 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001

　　修改后 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000002