病毒分析：

1、此马直接释放的文件有：
c:\WINDOWS\system32\webpnt.exe
c:\WINDOWS\system32\webprint.exe

2、添加的注册表服务项为：
WebPrint

SRENG日志中见到的是：
[WebPrint / WebPrint][Stopped/Auto Start]
<c:\windows\system32\webprint.exe><Microsoft Corporation>

3、c:\WINDOWS\system32\webpnt.exe运行后开启IE，修改IE内存，访问http://www.haveip.com/index.htm。

此后，SSM报告：IE通过命令行"C:\Program Files\Rising\KakaToolBar\Rsaupd.exe" AutoUpdate运行Rsaupd.exe并修改Rsaupd.exe内存。允许后，webpnt.exe通过IE假冒“卡卡助手”升级访问网络，下载木马。
实际下载的内容是http://sf.sf325.com:80/kyo/qq.exe（被我的IDM搞到了我的download文件夹而未自动运行），而非真正升级卡卡助手。

以上转自卡卡社区 baohe的帖子

解决办法

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

WebPrint / WebPrint

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除
c:\windows\system32\webprint.exe

c:\windows\system32\webpnt.exe