1、释放病毒文件：

　　C:\Windows\PictureAlbum2007.zip 62116 字节（压缩包）

　　C:\Windows\system32\awtqrpn.dll（名字可能会不一样）

　　C:\WINNT\system32\prodigys323.dll（名字可能会不一样）

　　这3个是主体，后来下载的病毒自己用杀软解决``

　　2、注册表修改，实现Dll无载体启动：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
     <prodigy1><prodigys323.dll>   []

　　3、连接Irc.oc256.***（英国）IRC服务器下载木马（未下载全）

　　好像下了3个。

　　由注入进程的prodigys323.dll完成，并隔段时间检测PictureAlbum2007.zip是否存在。

　　如不在则从IRC服务器重新下载。

　　4、会在MSN聊天对话中随机发送文字（详细文字略）并和PictureAlbum2007.zip一起发送。

　　解决方法：

　　网上搜索MSN蠕虫专杀，不能杀掉的话，看下面：

　　down.45it.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

　　1、断开网络，关闭不需要的进程。

　　2、首先打开SREng，查找例如下面的启动项，并记住它们的名字（这点注意）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
     <prodigy1><prodigys323.dll>   []

prodigys323.dll这个可能名字不一样。名字在百度、google等搜索不到。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
     <{F4002052-AB29-4B33-8C8D-0E99084564EC}><C:\Windows\system32\fccdbbc.dll>   []

这个是其中一个木马释放的，名字可能也不一样！

F4002052-AB29-4B33-8C8D-0E99084564EC也不相同，注意区别哈。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccdbbc]
     <WinlogonNotify: fccdbbc><fccdbbc.dll>   []

同上，名字可能会不一样。

　　3、重启电脑，再次打开SREng，如果上述启动项已不在的话，把对应的文件删除就可以了。

　　并且删除C:\Windows\PictureAlbum2007.zip压缩包。

　　4、如果上述启动项还在的话，按F3查找它们名字。

　　（也可以到Windows和system32目录下选择以“按日期”排列图标，当然最后几个就有可能是病毒，找到后用冰刃禁止线程创建删除文件和他们的注册表项，后用“重启并监视”关闭系统。

　　5、升级杀软，再全盘扫。（12号的杀软报的还不是很多）