样本来自http://bbs.ikaka.com/showtopic-8520928.aspx

运行后在%system32%目录下释放下列文件：
“随机13位小写英文字母”.dll（本次为rtkgseumhwbkj.dll）以及serverskber.ini。
同时开启计算器（calc.exe，不知何意），通过80 端口访问222.189.228.138（江苏，扬州电信）
rtkgseumhwbkj.dll插入explorer.exe进程。
用户点击桌面“我的电脑”时，explorer.exe访问58.220.235.180（江苏南京电信）。将IE主页篡改为 http://www.idv2200.cn/。
serverskber.ini的内容如下：
——————————————————
[settings]
ver=070401
id=4074
username=wzw
rnd=724
info=360大哥，我不是盗号程序，也不是机器狗，是最普通的广告程序啊，烦请兄弟高抬贵手！
passdomain=picasa.name8922.cn;google.com;google.cn;baidu.com;e78.com;about:blank;www.cngood666.cn;www.idv2200.cn;www.789gov.cn;www.name23456.cn;www.288tm.cn;www.288central.cn;
linkto=http://www.baidu.com
search=http://www.idv2200.cn/search.html
search_g=http://www.web353.cn/googlesearch.html
top=http://picasa.name8922.cn/gg.htm,40,SOFTWARE\Google\Picasa,unshow
startpage=http://www.idv2200.cn/
upday=2008-7-6
——————————————————
SRENG日志可见：
浏览器加载项
[]
  {21FD0BA3-67ED-44D7-B475-B85CBDD5CBF0} <C:\WINDOWS\system32\rtkgseumhwbkj.dll, Nicrosoft Inc.>

用IceSword容易搞掂这个垃圾：
强制删除其释放的文件及添加的浏览器加载项。如何确定那个“随机13小写英文位字母”.dll？根据中招日期，搜索%system32%目录。

用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

猫叔的沙发

猫叔的帖子要顶
那个serverskber.ini......要汗

我不小新安装了4074.exe,结果IE主页被篡改了，怎么删都删不掉，请问斑竹IceSwordruhe  使用啊，能否详细讲解一下，不甚感激！

info=360大哥，我不是盗号程序，也不是机器狗，是最普通的广告程序啊，烦请兄弟高抬贵手！

好象还挺委屈的……
不经计算机用户同意篡改主页这种强奸xxx的做法，人人得而诛之……

xxx在地再踏那个一脚
广告还无辜
ICESWORD教程 http://hi.baidu.com/roxiel/blog/item/7bb5406df3f248ff4316940e.html