1、特征：病毒创建如下启动项目
注册表
[ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run]
   <Internet><c:\windows\system32\internet.exe /scan> [N/A]
   <relpop><c:\windows\system32\relpop.exe>[N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\system32\Cnscheck001.dll>  [N/A]
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll>  [N/A]

另外发现internet.exe与CNScheck***.dll 是互相守护的。

清除方法：

1、进入安全模式 重启计算机 按F8选择进入....

2、打开工具SRENG，按 ctrl+alt+del 打开任务管理器，结束进程 Explorer.exe

3、用SRENG清除如上的注册表启动项。如正常模式下操作，需要用到 killbox 以上工具可以在这里下载
>>SREng下载链接 （文件名：>> SREng【teyqiu】.com << 点这里下载）
>>Killbox 下载链接 >> http://www.newsmth.net/bbscon.php?bid=78&id=227853&ftype=11

3、重启后即可。