你发的样本是个后门。卡巴斯基报Backdoor.Win32.BlackHole.2005.a

1、结束木马进程system.exe。
2、删除下列木马文件：
C:\windows\system32\system.cfg
C:\windows\system32\system.exe

3、清理注册表：

展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：Windows2000 Server Professional

展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

删除："EnableAutodial"=hex:00,00,00,00
删除："EnableAutodisconnect"=hex:00,00,00,00


展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings

删除："EnableAutodial"=hex:00,00,00,00
删除："EnableAutodisconnect"=hex:00,00,00,00

展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings

删除："EnableAutodial"=hex:00,00,00,00
删除："EnableAutodisconnect"=hex:00,00,00,00

展开：HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings

删除："EnableAutodial"=hex:00,00,00,00
删除："EnableAutodisconnect"=hex:00,00,00,00

谢谢了！

下定决心学习TPF去！呵呵！

主要是结束进程，用任务管理器有两个，偶知道有一个是正常的，没敢动，打开ICESWORD结束的！看图标的不同！

可是偶再用killbox删C:\windows\system32\system.cfg，C:\windows\system32\system.exe为什么显示找不到路径呢！后来直接进去手工找的，找到了！就搞不懂killbox了，还是我设置问题？

偶然之间还发现一个好玩的，看附件，我汗了！