“eREAD弹弹看”（Win32.Hack.RPolyCrypt.a.36864），这是一个由AUTO病毒释放的病毒文件。它会使系统不断的弹广告和下载其他病毒文件。并出现会自动下载电影播放器的电子图书。没多久，在用户桌面上便会显示大量网页图标和与病毒文件相关的快捷方式及文件夹。总体来说，此病毒破坏性不强，但其行为却会令用户深感烦腻。

　　“AUTO木马389120”（Win32.Troj.Autorun.389120），这是AUTO病毒。它运行后，会将自己添加到系统启动项，随系统开机启动。启动后，创建单独的线程对系统进行扫描，如发现用户添加新磁盘（比如插入U盘等移动存储设备），就会把自己复制到新磁盘上，扩大传播范围。

　　一、“eREAD弹弹看”（Win32.Hack.RPolyCrypt.a.36864） 威胁级别：★★

　　病毒进入系统后，将病毒文件SVSH0ST.EXE释放到系统盘的%windows%system32目录下，并迅速运行起来，同时在%Program Files%ppfilm目录下还释放出另一个病毒文件jfCacheMgr.exe。此处值得注意的是，SVSH0ST.EXE与windows系统进程svshost.exe很像，具有一定的欺骗性，但字母均为大写。如用户发现自己系统中有字母为大写的svshost.exe，那很可能就是该病毒文件。

　　该病毒运行后，会自动打开一本电子图书，名为“eREAD”。很显然这只是病毒的掩护体。随着电子图书的打开，病毒会自动下载PPfilm.exe文件，这其实是一个电影播放器。接着，系统会时而弹出广告和网页，这是最明显的病毒症状。弹出的网页是无法修改大小的，而且页面内容走位、无法调整，随后自动关闭。

　　这时，如果用户查看IE浏览器，会发现自己的默认主页已被病毒修改为“http：//www.j**an.com/movies/1/pa**list/0/n**update/1.shtm”，相关内容是免费电影点播。很明显，此病毒的性质是属于流氓广告了。

　　当用户再回到桌面时，会发现在桌面多了许多网页图标、文件夹以及某些软件的快捷方式，这些是病毒自动生成的。只要病毒存在系统越久，生成图标就会越多、弹网页的频率也越高。

　　二、“AUTO木马389120”（Win32.Troj.Autorun.389120） 威胁级别：★

　　病毒进入用户电脑后，在系统盘的%windows%system32目录下释放出病毒文件dream.exe和plmmsbl.dll，并在全部的磁盘分区根目录下面均生成AUTO病毒文件autorun.inf、sbl.exe。只要用户双击鼠标左键进入含毒磁盘，病毒就会被激活，而如果在中毒电脑上使用U盘等移动存储设备，病毒也会将其感染。

　　接着，病毒修改系统注册表，把自己的相关数据添加到启动项，实现随系统开机启动。当成功启动后，它会利用之前生成的dream.exe进程创建单独的线程，对系统不断进行扫描，如发现用户添加新磁盘（比如插入U盘等移动存储设备），就会把自己复制到新磁盘上，扩大传播范围。

　　经分析，该毒没有明显破坏行为，但由于采取AUTO病毒自动传播和主文件不间断搜索的方式进行传染，此病毒感染移动存储器的机率较大，广大用户仍需对其提高警惕。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年2月24的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http：//www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。