1. 症状
　　(1) 如果系统中安装有WinRAR（一种很好的压缩解压工具，很多电脑上有安转），在任务管理器中会出现一个以SYSTEM方式运行的rar.exe，偶尔占用CPU达到100%. 经过确认，rar.exe本身是WinRar附带的一个命令行工具，并不是病毒，只是被病毒利用了而已。
　　(2) 无法显示隐藏的系统文件：在文件夹选项中将“显示受保护的操作系统文件”前面的勾去掉后，再次打开文件夹选项，发现刚才的操作无用。
　　(3) 感染U盘，在U盘下创建如下文件（设U盘的盘符为U:）,如果有软驱，会读取软驱，如果软驱中没插软盘，会不断读取软驱，使软驱不断发出"扑扑"的扰民声，直到插入了软盘，将病毒写入了软盘才不发出扰民声。在U盘和软盘下生成如下文件。
　　　U:\autorun.inf
　　　U:\RECYCLER\RECYCLER\desktop.ini
　　　U:\RECYCLER\RECYCLER\autorun.exe
　　注意，以上文件的属性均为系统、隐藏，在感染了该病毒的机器上是没有办法通过资源管理器看见的，不过可以在命令提示符中看见，如图一和图二。

　在感染该病毒后，在U盘上点击右键，其菜单中多了一个Open，如图三。双击U盘盘符或者点击Open都是执行病毒文件，让电脑感染该病毒。
细心观察会发现，该病毒跟以前的“记事本病毒”隐藏自身和传播的方式几乎一样。
　　(4) 该病毒会在系统中创建如下文件：
　　　c:\windows\system32\kernel32.sys
　　　c:\windows\system32\mfc48.dll
　　　c:\windows\java\classes\java.dll
　　　%temp%\dfssetup.tmp，其中%temp%为当前用户的临时文件夹，例如C:\Documents and Settings\User\Local Settings\Temp
　　(5) 该病毒还会修改注册表：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"UncheckedValue"=dword:00000001
将其值修改为dword:00000000
　　修改该值实现在资源管理器中无法显示“隐藏的系统文件”的功能。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
将其值修改为kernel32.sys
　　修改该值实现自动加载kernel32.sys的功能。注意，该加载项在msconfig中是看不见的！

        （6）感染了的局域网计算机能够PING通网关，但不能打开网页。

2. 手动杀毒方法
　　鉴于目前的主流杀毒软件对他都没有把办法，因此我们只能采用手动方法杀毒了。
　　注意：在安全模式下面是没有办法删除该病毒的（不能不说，该病毒的编写手法比较高明，在安全模式下面也能加载，并且能够防止用户删除它），因此我们需要在另外一种模式（Windows 恢复控制台）下面对其进行删除。
　　在杀毒过程中，需要Windows XP的安装盘。

2.1 进入Windows恢复控制台
 　　进入Windows恢复控制台有两种方法：
　　(1) 使用光盘启动电脑，选择恢复控制台：
　　使用Windows安装光盘启动计算机，在选择任务时（如图）按R进入恢复控制台，如图四。

图四 利用光盘启动进入Windows恢复控制台

　　(2) 在电脑的硬盘中安装恢复控制台：
　　将Windows安装光盘插入光驱，在运行中输入D:\I386\WINNT32 /cmdcons （其中D:为光驱盘符） ，如图五。 

图五 安装Windows恢复控制台（一）

　　在弹出来的确认对话框中点击“是”（图六）后，开始安装。

图六 安装Windows恢复控制台（二）
 　　在安装时，可以取消动态更新（图七）。

图七 安装Windows恢复控制台（三）
 　　安装完成后，重新启动计算机，在选择操作系统的时候选择Microsoft Windows XP Reconvery Console，进入恢复控制台（图八）。

图八 启动时选择进入Windows恢复控制台
 　　然后选择操作系统，输入Administrator密码（这个账户是Windows的内置管理员帐户，你可以重命名它），进入系统，如图九。

图九 进入Windows恢复控制台
 　　事实上，两种方式对于本病毒的查杀并没有区别，不过建议采用第二种方式，因为恢复控制台在系统崩溃时有很重要的用途，我的电脑上就一直装有恢复控制台。如果你不习惯在选择操作系统那个是老是要等待30秒钟，可以在我的电脑 -> 属性 -> 高级 -> 启动和故障恢复 -> 显示操作系统列表的时间 改为你想要的值。

2.2 手动删除病毒文件
　　前面已经提到了，病毒文件一共有四个，我们只需要删除其中三个就行了。由于该病毒文件具有arhs属性（存档、只读、隐藏、系统），我们必须先去掉该属性后才能将该文件删除。具体删除命令序列如下（在上面进入恢复控制台之后紧接着输入就可以了）：
cd system32
attrib -a kernel32.sys
attrib -r kernel32.sys
attrib -h kernel32.sys
attrib -s kernel32.sys
del kernel32.sys
attrib -a mfc48.dll
attrib -r mfc48.dll
attrib -h mfc48.dll
attrib -s mfc48.dll
del mfc48.dll
cd ..\java\classes
attrib -a java.dll
attrib -r java.dll
attrib -h java.dll
attrib -s java.dll
del java.dll
　　好了，病毒文件都删除掉了，下面可以键入EXIT重新启动系统，进入到正常模式来清除掉病毒留下来的一些痕迹了（图十、图十一、图十二）。

图十 显示kernel32.sys的属性

图十一 删除病毒文件（一）

图十二 删除病毒文件（二）

2.3 清理病毒在注册表中留下的痕迹
　　本来，这些操作也是可以在恢复控制台下面完成的，但是由于在恢复控制台下面只能使用命令行模式，操作相对麻烦，因此推荐在Windows正常启动的情况下完成。
　　打开注册表编辑器（在“运行”中输入“regedit”），定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
将项"UncheckedValue"的值改为dword:00000001；
　　定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
将项"AppInit_DLLs"的值改为空。

2.4 删除U盘上的病毒文件

　　在命令提示符下面进入U盘，输入如下命令即可删除U盘上的病毒。
attrib -h -s -r  autorun.inf
del autorun.inf
rmdir /s /q RECYCLER
　　如图十三所示。

图十三 删除U盘中的病毒
　　好了，毒杀完了，享受无毒的电脑去。
 
　　备注：其实Windows XP的系统还原就可以解决该问题。如果你的系统没有开启系统还原，那么就只能手动杀毒了。
 

3. 病毒作者
　　用记事本或者其他文本编辑软件打开该病毒（autorun.exe），会发现如下字符串"关于[原创天地]小飞"

目前还无法清除被rar.exe病毒感染的exe程序。