原帖： http://www.anti-vir.cn/bbs/read.php?tid=505&fpage=1

后门一只，属性如下：



这个后门还不错，也有点BT吧，共产生14个文件＋3个快捷图标＋2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩。附图即为中毒后，任意一个EXE文件的属性，留意黄圈部分，“应用程序”变成“EXE文件”

当然，清除的方法也很简单，不过需要注意步骤：

一、注册表：先使用注册表修复工具，或者直接使用regedit修正以下部分

1.SYSTEM.INI （NT系统在注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
shell = Explorer.exe 1  修改为shell = Explorer.exe

2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除

3. HKEY_Classes_root\.exe
默认值 winfiles 改为exefile

4.删除以下两个键值：
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

二、然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:\antorun.inf  （如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除）
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com

删除以下文件夹：
%windir%\debug
%windir%\system32\NtmsData

三、清除这些快捷方式，搜索以下快捷方式，删除（快捷方式的扩展名就是lnk）
安全测试.lnk
系统信息管理器.lnk
计算机安全中心.lnk