my_70530.exe运行后在%windows%目录下释放病毒文件tempq。tempq通过80端口访问网络58.221.7.41（图1、图2）

此后，在系统驱动目录下释放两个病毒驱动.sys，在system32目录下释放一个病毒文件.dll。这三个病毒文件名随机变化（数字、字母搭配，位数不固定。本次释放的病毒文件见图2－4。）。

在HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services分支下添加两个驱动项，驱动项名称与上述两个.sys的文件名相同。

中招后，用IceSword查看进程列表————无异常进程。

借助瑞星2008主动防御的查杀流程：

1、在“应用程序访问控制”中添加规则，禁止任何程序访问这三个病毒文件。

2、在“程序启动控制”中添加规则，禁止任何程序启动这三个病毒程序。

3、重启。用IceSword删除病毒这四个文件及其驱动项。病毒添加的驱动项只能删除其中一个，另外一个删不掉。再次重启。

4、重启后系统报错（图5）。不理它（这是病毒dll文件被删除引起的）。

5、用IceSword删除剩余的病毒驱动项（图6）。

此毒的查杀难点在于：

1、病毒文件名随即变化。中招后，到论坛求助时务必提供SRENG等工具扫的完整日志。有经验的朋友，可以在SRENG或autoruns日志中发现异常驱动项。

2、那个病毒dll貌似通过rundll32间接加载（中毒后重启系统，我用SSM观察到：rundll32.exe试图改写explorer.exe内存）。注册表都搜遍了，搜不到与病毒dll有关的加载项。

因此，找到并灭掉这个病毒dll是手工杀毒的核心环节。如果没有HIPS一类的安全工具监控，这个病毒dll难以确定。