我们办公室的电脑平日里只是打印，不能上网。
但还是中了病毒（U盘带来的）
症状为，文件夹上没了“文件夹选项”，注册表给禁用，看不到显示文件，与隐藏了以知的扩展名。
用System Repair Engineer扫描后看到的可疑项
启动项
C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\WINDOWS\eksplorasi.exe
启动文件夹
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Empty.pif
运行中的进程
C:\Documents and Settings\Administrator\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\services.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\lsass.exe
这几项，一看就知不是好东东，在安全模式下无法删除winlogon.exe
也罢，回到正常模式，使用IceSword，终止winlogon.exe，services.exe，lsass.exe的进程。

用WINRAR删除
C:\Documents and Settings\Administrator\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\services.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\WINDOWS\eksplorasi.exe
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Empty.pif

用System Repair Engineer删除其启动项与启动文件夹
C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\WINDOWS\eksplorasi.exe
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Empty.pif
重启，看到鼠标又在沙漏，知道不妙。
再查，它们居然又死灰复燃了！！！
查System Repair Engineer日志，看不出问题。
可不能在一棵树上吊死，我打开autoruns.exe，果然给我看一个可疑的项。
在计划任务中，有一项为
+ At1.job           
c:\documents and settings\administrator\templates\wowtumpeh.com
看不懂，感觉可疑，不应是好东东。
于是呼，又一阵大动，连wowtumpeh.com一并删除。
重启，嘿嘿，没得事了。
于是就开始修复好给病毒破坏的文件夹选项
方法如下
开始，运行，gpedit.msc，在用户配置－管理模板－Windows组件－Windows资源管理中找到了这么一行:从"工具"菜单删除"文件夹选项"菜单,后面的状态是“未被配置”。双击选"已禁用"，然后确定
大家可能以经这样子就算完了，我原本也这么认为，其实不然。
第二天，我又来查看。
发现这几个病毒又回来了。
这就奇了
我又按先前的删除一次，连着重启二次，系统都没有问题。
但我总觉得一定还有幕后杀手
最后还是在System Repair Engineer中，发现另一个可疑的项
c:\windows\system32\Admin's Setting.scr
这是一个屏保的选项
办公室里的MM喜欢屏保，但这个屏保的名儿太奇怪了（事后我想，如果病毒的作者把它为热带鱼屏保.scr，也许我就真给逼疯了）
右击空白桌面处选项属性，看到Admin's Setting.scr这个屏保处于选中的状态，十分钟运行一次。我直接点“预览”，又看到熟悉的沙漏。
TMD，原来你在这里。
轻车熟路一阵猛删
最后追加删除Admin's Setting.scr，系统从此不再出现这个问题。
总结，这个病毒可谓是狡兔三窟
一是，有着文件夹一样的外表，当隐藏了以知扩展名后，和文件夹一样。
二是，使用了计划任务，以至于让System Repair Engineer无法扫出（System Repair Engineer加油）以及在启动文件夹上的Empty.pif，这两个如果有其中一个没有删除，重启后又会还原。
三是，用屏保来掩护，可谓少见。

以上工具，可以到www.27814939.ys168.com,点“我的软件”下载
以及关于WINRAR的使用方法
http://forum.ikaka.com/topic.asp?board=3&artid=8130575

收藏~

学习,现在做毒的人越来越BT.

学了一着，谢了。不要向我征版权费哦，俺家里穷。

学到了少少,但还在幼儿期

不错的贴子,通俗易懂

用到了工具:IceSword,,,autoruns.exe,,WINRAR这个还没有这样用过呢,SSM有用到嘛!

WINRAR能看到隐藏文件的功能，很多新手不知道。

无邪处理的这个东东，应该是Worm.Brontok病毒的变种。

不言放弃和baohe分别就此病毒的变种发过帖子：
http://forum.ikaka.com/topic.asp?board=28&artid=8075632
http://forum.ikaka.com/topic.asp?board=28&artid=8127464
不过无邪说的这个屏保倒是有点意思，如果有保存样本的话，请压缩加密码virus发到我的邮箱（见签名）。

因为这台电脑无法上网，直接删除没有保留样本
一个星期后，觉得这病毒挺鬼灵的，就把日志查找，通过回忆写出这个帖子的。