此变种是从“开始菜单”的“启动”项启动，向系统进程注入 dnsq.dll ，然后从“启动”项里删除自己，（拦截系统关机函数，用户关机时再次写入）

因为此病毒拦截了多个系统API函数，所以想要手动查杀该病毒不是太容易，因为此病毒会阻止 冰刃、SReng 等工具启动。。。

下面只说一种方法，“断电”
1. 首先保证你的启动项里没有 ~.exe.???????.exe 格式的文件(?代表随机6~8位数字)
方法是，启动cmd ，进入“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\”，利用 attrib 命令查看，是否有残余的 ~.exe.?????.exe ，若有，请删除，命令如下：
attrib -s -h ~.exe*
del ~.exe*
2. 上面步骤还包括你的其它用户的启动项哦，等你都搞定后，现在，不要操作你的电脑了， 找到你的电脑电源插板，拔掉电源再插上，
3. 等你的系统重新启动，切忌，不要打开“我的电脑”等操作，否则病毒就会重新发作，刚才的操作步骤就白费啦
   i. "开始"-"运行"，输入 cmd 启动命令行窗口
   ii. 依次在您的分区根目录下输入以下命令：(X:代表你的C、D、E等所有分区盘符，不要忘记你的移动硬盘 U盘哦)
       X:>attrib -s -h -r autorun.inf
       X:>attrib -s -h -r pagefile.pif
       X:>del autorun.inf
       X:>del pagefile.pif
4. 下面可以接着用cmd窗口删除其它的病毒文件(此处C是你的系统盘)
       C:>cd windows\system32 （假如你的是2000系统，则命令是cd winnt\system32 ）
       C:\windows\system32> attrib -s -h -r dnsq.dll
       C:\windows\system32> del dnsq.dll
       C:\windows\system32> cd com
       C:\windows\system32\com> attrib -s -h -r lsass.exe
       C:\windows\system32\com> attrib -s -h -r smss.exe
       C:\windows\system32\com> del lsass.exe
       C:\windows\system32\com>del smss.exe

好了，以上的步骤是专门针对此变种的，对其它变种可能不适合。