病毒症状：　　该样本是使用“Delphi”编写的后门程序，长度为“753,152 字节”，病毒扩展名为“exe”，主要通过“文件捆绑”、“下载器下载”、“网页木马”等方式传播，病毒主要目的为设立后门，使用户电脑沦为傀儡主机。　　用户中毒后，可能会出现计算机无故重启、关闭，重要文件丢失，系统及 *** 缓慢、摄像头无故启用、程序无故关闭、注册表被修改、出现各类病毒等导致用户隐私泄露及影响用户使用的现象。　　感染对象：　　Windows 2000/Windows XP/Windows 2003　　传播途径：　　网页挂马、文件捆绑、下载器下载。　　病毒分析：　　（1）读取并解密自己配置信息；　　（2）复制自身到%SystemRoot%\winlogin.scr；　　（3）注册服务，启动病毒；　　（4）创建svchost.exe进程，把病毒代码注入进程；　　（5）创建批处理文件删除自身；　　（6）尝试连接黑客主机。　　病毒创建文件：　　%SystemRoot%\winlogin.scr　　%SystemRoot%\uninstal.bat　　病毒删除文件：　　%SystemRoot%\uninstal.bat　　病毒创建注册表：　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1　　病毒创建进程：　　svchost.exe　　病毒访问 *** ：　　huangw***21.3322.org:7000　　解决方案：　　1、手动删除以下文件：　　%SystemRoot%\winlogin.scr　　2、手动删除以下注册表值：　　键：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1　　变量声明：　　%SystemDriver%　　系统所在分区，通常为“C:\”　　%SystemRoot%　　WINDODWS所在目录，通常为“C:\Windows”　　%Documents and Settings%　　用户文档目录，通常为“C:\Documents and Settings”　　%Temp%　　临时文件夹，通常为“C:\Documents and Settings\当前用户名称\Local Settings\Temp”　　%ProgramFiles%　　系统程序默认安装目录，通常为：“C:\ProgramFiles”