据说这个病毒是QQ迷你首页（minisite.qq.com/all/allinone.shtml ）上挂的木马

我想是DNS劫持，因为我这里（福建泉州电信）和其他几位好友访问该网站并没有问题。

另外建议有出现访问QQ迷你首页提示木马的，暂时先把minisite.qq.com屏蔽了。

文件名称：wkebsr.exe

文件大小：23677 bytes

AV命名：Trojan-Downloader.Win32.Small.gop （卡吧斯基）Trojan.Win32.Delf.yjk （瑞星）

加壳方式：FSG 2.0

编写语言：Borland Delphi 6.0-7.0

文件MD5：99f0966662bfd2910d2c762e8b70fac3

行为：

1、释放病毒副本：

C:\Documents and Settings\当前的用户名\Local Settings\Temp\wkebsr.exe 23677 字节

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wkebak.exe 23677 字节（开机自启）

%Systemroot%\system32\drivers\knlps.exe 8192 字节

2、添加注册表，开机启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
（注册表值)avpdow   指向： C:\DOCUME~1\当前的用户名\LOCALS~1\Temp\wkebsr.exe

3、查找进程，尝试关闭：

KVwsc.exe
KVMonXP.EXE
Kvsrvxp.EXE
kwatch.EXE
kavstart.EXE
KPfw32.exe
kavpfw.exe
runiep.exe
360tray.exe

4、其中病毒释放的knlps.exe，可能释放驱动knlps.sys，强制关闭：

avp.exe
360tray.exe

5、查找硬盘，于系统drivers目录释放delme.bat。可能会删除以下文件：

ravmon.exe
ravmond.exe
rfwmain.exe
PFW.exe
KVMonXP.kxp
shstat.exe
Mcshield.exe
Vstskmgr.exe
ccapp.exe
vptray.exe
Navapsvc.exe
rtvscan.exe
kvfwmcl.exe

6、连接http://www.ip138.com/ip2city.asp，记录本地计算机的IP地址。

并发送至http://58.215.79.**/ip.txt，最后提交到http://58.215.79.**/tj/lin.asp。

不过网址已经失效了，汗``

7、调用net.exe，关闭系统自带的防火墙。

net.exe stop sharedaccess

解决方法：

1、下载SREng：可到down.45its.com下载

下载后直接放桌面，断开网络。

2、打开“任务管理器”，如有发现wkebsr.exe、wkebak.exe则关闭其进程。

3、打开SREng，删除病毒的的启动项：

注册表：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

    <avpdow><C:\DOCUME~1\admin\LOCALS~1\Temp\wkebsr.exe> []

启动文件夹：

[wkebak]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wkebak.exe

4、重启电脑，清空所有临时文件。