运行这个egro.exe样本后，释放的文件见图1。除此之外，IE临时文件夹中还有很多。

       这个毒添加的加载项比较特殊：
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
userinit（指向c:\windows\system32\mgmrwmrv.exe，见图2）。
SRENG、AUTORUNS、ICESWORD等均扫不到这个怪怪的启动项。有点儿意思。

        此外，此毒运行后不停的反复写HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTaskMgr"=dword:00000001（禁用任务管理器），没完没了。

        咱什么都不做。先试试用IceSword能否删除HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit。
        结果————删掉了。而且病毒浑然不知此userinit键值被用户删了。汗！

        重启系统看看。

        重启后，再次展开HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\，userinit键值不见了。汗！关机前也不知道回写一下。菜！
彻底删除HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon。
接下来。删除图1所示的病毒文件，清空IE临时文件夹。完事。

       病毒写入的其它注册表垃圾用TuneUp清理一下，结束。