Pegefile.pif很早就出现了，不过一直没写过，这回写下。

File: PegeFile.pif
Size: 28708 bytes
MD5: E25E943A9281DA3E4260E1D08BF69F26
SHA1: 823420A3760E30915AEA2A272A5A9C81ECDB2393
CRC32: AFF7FD61

运行后 生成C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll
NewTemp.dll
添加注册表键值HKLM\SOFTWARE\Classes\CLSID\{0EA66AD2-CF26-2E23-532B-B292E22F3266} 指向该文件达到开机启动目的
NewTemp.dll试图通过挂钩WH_GETMESSAGE函数监控发送到消息队列的消息

每个分区生成PegeFile.pif和autorun.inf

控制Explorer连接网络下载木马和病毒
读取http://xxxxx.cn/1.txt下载配置文件
下载http://xxxxx.cn/arp/1.exe～19.exe
和http://xxxx.net/new/system22.exe到%temp%文件夹
下载来的威金还会下载一些病毒下来 不过和上面的有些是相同的

木马植入完毕以后sreng如下
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []
      <load><C:\WINDOWS\uninstall\rundl132.exe>    []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
      <MSDEG32><LYLoader.exe>    []
      <MSDWG32><LYLoadbr.exe>    [N/A]
      <MSDCG32      ><LYLeador.exe>    [N/A]
      <MSDOG32><LYLoador.exe>    [N/A]
      <MSDSG32><LYLoadar.exe>    [N/A]
      <MSDMG32><LYLoadmr.exe>    [N/A]
      <MSDHG32><LYLoadhr.exe>    [N/A]
      <MSDQG32><LYLoadqr.exe>    [N/A]
      <visin><C:\WINDOWS\system32\visin.exe>    [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
      <AppInit_DLLs><wddpri.dll>    []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>    []
      <{5562452F-FA36-BA4F-892A-FF5FBBAC5315}><C:\WINDOWS\system32\myepri.dll>    []
      <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll>    []
      <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>    []
      <{A12BC423-3713-224D-3F55-32B35C62B11A}><C:\WINDOWS\system32\tlupri.dll>    []
      <{7A65498A-7653-9801-1647-987114AB7F47}><C:\WINDOWS\system32\zxgpri.dll>    []
      <{64123FF1-8371-9834-9021-184518451FA6}><C:\WINDOWS\system32\qjfpri.dll>    []
      <{759AFD5B-159F-ACD8-954C-ACD545FA6587}><C:\WINDOWS\system32\jzgpri.dll>    []
      <{3182C1EB-375C-573D-1F5E-234552345213}><C:\WINDOWS\system32\wlfpri.dll>    []
      <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll>    []

清除办法：
1.打开sreng
启动项目    注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdnd><C:\WINDOWS\upxdnd.exe>    []
      <cmdbcs><C:\WINDOWS\cmdbcs.exe>    []
      <load><C:\WINDOWS\uninstall\rundl132.exe>    []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
      <MSDEG32><LYLoader.exe>    []
      <MSDWG32><LYLoadbr.exe>    [N/A]
      <MSDCG32      ><LYLeador.exe>    [N/A]
      <MSDOG32><LYLoador.exe>    [N/A]
      <MSDSG32><LYLoadar.exe>    [N/A]
      <MSDMG32><LYLoadmr.exe>    [N/A]
      <MSDHG32><LYLoadhr.exe>    [N/A]
      <MSDQG32><LYLoadqr.exe>    [N/A]
      <visin><C:\WINDOWS\system32\visin.exe>    [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
      <{0EA66AD2-CF26-2E23-532B-B292E22F3266}><C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll>    []
2.重启计算机

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击    菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入C盘
删除如下文件C:\WINDOWS\system32\drivers\usbinte.sys
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\visin.exe
C:\WINDOWS\Logo1_.exe
C:\WINDOWS\RichDll.dll
C:\WINDOWS\uninstall\rundl132.exe
C:\WINDOWS\1Sy.exe~20Sy.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\kulionwm.dll
C:\WINDOWS\video.dll
C:\WINDOWS\winow.dll
C:\WINDOWS\winow.exe
C:\WINDOWS\winwm.exe
C:\WINDOWS\wmsj.exe
C:\pegefile.pif
C:\autorun.inf

单击菜单栏 搜索 按钮 打开C:\windows\system32文件夹
全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
所有文件必须都要重命名
然后点击 开始新的搜索
全部或部分文件名中 输入*ini.dll 把找到的文件都重命名
然后点击 开始新的搜索
全部或部分文件名中 输入*ins.exe 把找到的文件都重命名

3. 重启计算机
启动项目    注册表 删除如下项目
      <{5562452F-FA36-BA4F-892A-FF5FBBAC5315}><C:\WINDOWS\system32\myepri.dll>    []
      <{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll>    []
      <{4F12545B-1212-1314-5679-4512ACEF8904}><C:\WINDOWS\system32\wddpri.dll>    []
      <{A12BC423-3713-224D-3F55-32B35C62B11A}><C:\WINDOWS\system32\tlupri.dll>    []
      <{7A65498A-7653-9801-1647-987114AB7F47}><C:\WINDOWS\system32\zxgpri.dll>    []
      <{64123FF1-8371-9834-9021-184518451FA6}><C:\WINDOWS\system32\qjfpri.dll>    []
      <{759AFD5B-159F-ACD8-954C-ACD545FA6587}><C:\WINDOWS\system32\jzgpri.dll>    []
      <{3182C1EB-375C-573D-1F5E-234552345213}><C:\WINDOWS\system32\wlfpri.dll>    []
      <{56368135-64FA-BC34-DA32-DCF4FD431C95}><C:\WINDOWS\system32\qhepri.dll>    []
双击AppInit_DLLs 把其键值改为空

删除所有你刚才重命名的那些文件
然后点击    菜单栏下方的 文件夹按钮 从左边的资源管理器 进入其他盘
删除pegefile.pif和autorun.inf

4.下载威金专杀全盘杀毒

另外：
如果装有QQ请把QQ 安装文件夹中的Timplatform.exe删除 把Timplatfrom.exe重命名为Timplatform.exe