目前最新版的卡巴和瑞星都没有报毒。中毒后会随机弹出一些乱七八糟的网站。winlib .dll插入系统进程WinLogon.exe，并且在成功注入后将自身的磁盘映像文件C:\windows\system32\winlib .dll删除，让你怎么都找不到它，下次启动还有。

      这个winlib.dll是acpidisk.sys释放出来的，另外还释放一个C:\WINDOWS\TEMP\~my1.tmp （或者~my2.tmp、~my3.tmp等）

       WinLogon.exe修改注册表值——
       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History为：C:\Documents and Settings\[User Account]\Local Settings\History
       HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations为：C:\WINDOWS\TEMP\~my1.tmp

       注册一个浏览器加载项[Info cache]，文件为C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll。

SREng的扫描报告如下：

驱动程序
[acpidisk / acpidisk][Running/Auto Start]
    <\??\C:\WINDOWS\System32\drivers\acpidisk.sys><N/A>
浏览器加载项
[Info cache]
    {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>
正在运行的进程
[PID: 628 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]    [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
      [C:\WINDOWS\System32\winlib .dll]    [N/A, ]

解决办法：
      1、运行SREng。
附：System Repaire Engineer(SRE)
下载：http://www.kztechs.com/sreng/download.html
使用方法：http://www.kztechs.com/sreng/help2/

      2、在SREng界面的“启动项目/服务/驱动程序”中，删除[acpidisk / acpidisk]项。具体操作：（运行SRENG--->启动项目--->服务--->驱动程序--->勾选“隐藏已认证的微软项目”--->选择要删除的驱动程序--->选择删除服务--->点击设置--->出现提示里选择No(否)，确认删除。）

      3、使用冰刃(IceSword)1.20
http://www.ttian.net/website/2005/0829/391.html，在其界面注册表中，找到所有385AB8C6-FB22-4D17-8834-064E2BA0A6F0的项，删除。（由于IceSword没有注册表搜索功能，可以打开regedit搜索，然后对比找到后删除。这几个项都比较顽固，实际操作发现用SREng和Regedit都不能删出。）

      4、重新启动，删除C:\WINDOWS\System32\drivers\acpidisk.sys和C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll文件。那个winlib .dll已经自动消失了。

Author: Sanluxia
Aug. 13, 2007
Blog: http://hi.baidu.com/sanluxia/blog
This document is written by Sanluxia, all rights reserved. You may copy it to other place, but you must reserve this copyright information.