卡巴斯基2006年9月14日14点的病毒库不报毒。
运行后，在c:\windows\下释放ntssl.exe。在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run添加启动项。
此后，ntssl.exe通过8080端口访问220.189.208.188，下载木马intranet.exe到C:\windows\文件夹。
intranet.exe替换掉c:\windows\ntssl.exe。注册表启动项也相应改为：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Intranet"="C:\\windows\\intranet.exe"
接接下来，C:\windows\intranet.exe继续下载木马及其更新程序若干（图），并在注册表中添加相应的启动项。
screen.width*0.4) {this.resized=true; this.width=screen.width*0.4; this.alt='打开新窗口浏览';}" border=0>

查杀流程：
1、结束木马进程
C:\windows\explore.exe
C:\windows\taskmor.exe
C:\windows\intranet.exe
C:\windows\winlogin.exe
c:\windows\system32\service.exe（这几个进程并非同时存在。见到那些就结束那些。）
2、直接删除木马文件
C:\windows\explore.exe
C:\windows\taskmor.exe
C:\windows\intranet.exe
C:\windows\winlogin.exe
c:\windows\system32\service.exe
3、清理注册表：
展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
删除：
"Explore.exe"="C:\\windows\\explore.exe"
"Taskmor.exe"="C:\\windows\\taskmor.exe"

展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："Intranet"="C:\\windows\\intranet.exe"

展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：SystemSet（指向c:\windows\system32\service.exe）

     参考以上步骤前因该注意的问题：操作以上步骤前请清理IE临时文件夹。如果以上方法都无法解决此问题,请登陆http:///mianfeiliuyanban/index.asp?user= jinjunhe留言提问(提问请附上HijackThis扫描日志,以便我们分析问题)。