IE主页被改为http://www.6781.com/

那个setup.exe后，系统通过80 端口访问222.185.252.148。
此后，IE临时文件夹C:\Documents and Settings\baohelin\Local Settings\Temporary Internet Files\Content.IE5\8DYJ8TUF\出现一个文件kuzhansetup[1]。
setup.exe反复改写此文件数次后，在C:\Documents and Settings\All Users\Templates\文件夹释放一个temp.exe，并自动运行。麻烦正是来源于这个temp.exe。

一、temp.exe运行后释放的文件：
C:\Program Files\Common Files\System\update.exe
C:\Program Files\Common Files\System\update.dat
C:\WINDOWS\system32\advport.dll
C:\WINDOWS\system32\rundllfromwin2000.exe
C:\WINDOWS\system32\zvzwki82.dll
C:\WINDOWS\system32\kb20060926a.exe（kb20060926a.exe安装驱动paraudio.sys。运行后kb20060926a.exe被自动删除）
C:\WINDOWS\system32\drivers\paraudio.sys
C:\WINDOWS\system32\wbem\ocmor.dll
C:\WINDOWS\system32\wbem\rgpgsw23.dll

二、temp.exe运行后的注册表改动：
1、在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加：
paraudio（指向C:\WINDOWS\system32\drivers\paraudio.sys）
2、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\分支添加：
system（指向C:\Program Files\Common Files\System\update.exe）
3、在HKEY_LOCAL_MACHINE\SOFTWARE\Lamp\分支添加：
Update
4、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\分支添加：
coolsign（不完全）
5、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings分支添加：
添加"MigrateProxy"=dword:00000001
6、在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main分支添加：
"Start Page"="http://www.6781.com/"
7、在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\typedUrls分支添加：
"url5"="http://www.3839.com/index.html"
8、在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections分支添加：
"SavedLegacySettings"=hex:3c,00,00,00,2b,01,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00

三、我的处理办法：
1、用SSM禁止C:\Program Files\Common Files\System\update.exe和C:\WINDOWS\system32\drivers\paraudio.sys加载。
2、重启系统。显示隐藏文件。
3、删除木马文件（图1）。
4、删除木马添加/改写的注册表内容（见“temp.exe运行后的注册表改动”）。