一、sna.exe下载的木马文件有：
c:\WINDOWS\system32\wbem\lsass.exe
c:\WINDOWS\system32\wbem\sholl32.dll
C:\WINDOWS\system32\ntworkstan.dll
C:\WINDOWS\system32\wnttech.dll
C:\WINDOWS\system32\advwhes.dll
C:\WINDOWS\system32\wmsnds32.dll

二、注册表改动：
（1）在HKEY_CLASSES_ROOT\CLSID\分支添加：
{C574040B-C11C-41EF-8401-E2AF6F5F6841}
（2）在HKEY_CLASSES_ROOT\TypeLib\分支添加：
{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
（3）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加：
NTWorkStan
（4）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加：
wnttech
（5）在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支添加：
"C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"

三、杀毒流程：

1、、结束进程lsass.exe（路径c:\WINDOWS\system32\wbem\lsass.exe）
2、、清理注册表：

（1）展开：HKEY_CLASSES_ROOT\CLSID\
删除：{C574040B-C11C-41EF-8401-E2AF6F5F6841}
【注】删除此键时可供核对的信息：HKEY_CLASSES_ROOT\CLSID\{C574040B-C11C-41EF-8401-E2AF6F5F6841}\LocalServer32的默认值为：
@="c:\\WINDOWS\\system32\\wbem\\lsass.exe"


（2）展开：HKEY_CLASSES_ROOT\TypeLib\
删除：{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}
【注】删除此键时可供核对的信息：HKEY_CLASSES_ROOT\TypeLib\{8B5396EC-B2EF-4B66-85C7-3AF65E3B82B0}\1.0\0\win32的默认值为：
@="c:\\WINDOWS\\system32\\wbem\\lsass.exe"


（3）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：NTWorkStan
【注】删除此键时可供核对的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTWorkStan\Parameters的默认值为：
"ServiceDll"="C:\WINDOWS\system32\ntworkstan.dll"

（4）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：wnttech
【注】删除此键时可供核对的信息：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wnttech\Parameters的默认值为：
"ServiceDll"="C:\WINDOWS\system32\wnttech.dll"


（5）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
删除："C:\\WINDOWS\\system32\\wbem\\lsass.exe"="C:\\WINDOWS\\system32\\wbem\\lsass.exe:*:Enabled:Generic Hosts for WinService"

3、重启系统。显示隐藏文件。删除下列文件（见图2）。