一、SVCHOST.COM运行后释放下列文件：

　　1、各分区根目录下的autorun.inf、SVCHOST.COM。

　　2、系统根目录下的DESTROY_感染_21238、DESTROY_感染_2437、DESTROY_感染_38、DESTROY_感染_7719、DESTROY_感染_8855。

　　3、C:\windows目录下的mjview32.com、$temp$、explorer.exe（58.2K）。正常的explorer.exe（954K）被转移到C:\windows\system\目录下了。

　　4、C:\windows\system\目录下的MSMOUSE.DLL

　　5、C:\windows\system32\目录下的cmdsys.sys、mstsc32.exe

　　6、SVCHOST.COM运行位置（本次为“桌面”）的$$$$$、gmon.out。

　　二、SRENG2.5(该软件可到down.45it.com下载)日志可见下列异常：

　　启动项目
　　注册表

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[Microsoft Corporation]
　　==================================
　　Autorun.inf内容:
　　[C:\]
　　[AutoRun]
　　open="SVCHOST.com /s"
　　shell\open=打开(&O)
　　shell\open\Command="SVCHOST.com /s"
　　shell\explore=资源管理器(&X)
　　shell\explore\Command="SVCHOST.com /s"
　　[D:\]
　　[AutoRun]
　　open="SVCHOST.com /s"
　　shell\open=打开(&O)
　　shell\open\Command="SVCHOST.com /s"
　　shell\explore=资源管理器(&X)
　　shell\explore\Command="SVCHOST.com /s"
　　==================================
　　进程特权扫描
　　特殊特权被允许： SeLoadDriverPrivilege [PID = 3044, C:\WINDOWS\EXPLORER.EXE]

　　三、用IceSwoed(该软件可到down.45it.com下载)的手工查杀流程：

　　1、禁止进程创建。

　　2、结束下列进程：

　　C:\windows\wjview32.com
　　C:\windows\explorer.exe
　　C:\windows\system32\conime.exe

　　3、删除下列病毒文件（需要删除的文件见图,详细步骤：打开冰刃－文件－依次找到病毒文件删除即可）。注：$temp$需用IceSword强制删除。

　　4、取消IceSword的“禁止进程创建”。用SRENG删除病毒加载项wjview32（详细步骤：打开SREng－启动项目－注册表）

　　5、将C:\windows\system\目录下的explorer.exe移回C:\windows\目录(使用系统复制功能)。