运行病毒样本

　　%Systemroot%\system32\DocProp1.dll    20992 字节

　　%Systemroot%\system32\msv1_1.dll    7680 字节

　　%Systemroot%\system32\servers.ini    138 字节

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msv1_1] "Asynchronous"=dword:00000000 "DllName"=hex(2):6d,00,73,00,76,00,31,00,5f,00,31,00,2e,00,64,00,6c,00,6c,00,\     00,00 "Impersonate"=dword:00000000 "Logon"="fnopendll"

　　其中msv1_1.dll插入Winlogon.exe（核心）进程。并隔一段时间利用IE调用dw15 -x -s 连接外部（实现反弹连接）

　　应该是下载一些乱七八糟的东东，不过测试时并未实现。

Parent process:      Path: C:\program files\Internet Explorer\IEXPLORE.EXE      PID: 1524      Information: Internet Explorer (Microsoft Corporation) Child process:      Path: C:\program files\Internet Explorer\DW15.EXE      Information: Microsoft Application Error Reporting (Microsoft Corporation)      Command line:dw15 -x -s 600

　　并每隔60秒调用regsvr32.exe注册serverhelp.dll（%Systemroot%\system32\下的），测试并未发现生成。

好像还遍历生成了Autorun.inf和icvas.exe（未验证）。

　　到down.45its.com下载：

　　IceSword120_cn.zip，PowerRmv.com，SREng.rar

　　下载后直接放桌面。关闭不必要的进程，断开网络。

　　1、运行冰刃(即IceSword120_cn.zip)，文件—设置—禁止进线程创建-确定。有看到IE进程的话全部结束掉。

　　2、打开冰刃文件功能，展开到C:\Windows\system32\下（如果是2K、ME系统的话是

C:\Winnt\system32\）删除：

　　3、用冰刃的注册表功能，展开到：

　　KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\下

把msv1_1这整个项删除，切记不要看错了。

　　4、如果在分区下有看到Autorun.inf和icvas.exe的话删除掉。（没有则忽略）

　　5、冰刃—重启并监视—确定。

　　6、重启完后打开SREng如果有看到msv1_1项不要删除，编辑置空（没有的话忽略）

　　打开PowerRMV，填入：

C:\windows\system32\DocProp1.dll C:\windows\system32\msv1_1.dll C:\windows\system32\servers.ini

　　如果是是2K、ME系统的话是把C:\windows\路径改成：C:\Winnt\system32\

　　开始—运行—输入“regedit”，打开注册表。展开到：

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\下

把msv1_1这整个项删除，切记不要看错了（不能删除的话，用冰刃的注册表功能）

 

　　打开SREng，有看到msv1_1项不要删除，编辑置空（没有的话忽略）