这是从邮箱的垃圾邮件中捡来的一个虫子。yahoo邮箱的诺顿说“附件无毒”

1、message.elm.bat属于邮件病毒。下载并运行此附件后，你会看到一个自动打开的记事本文件。文件内容是“天书”般的乱码。
此时，你的麻烦来了——蠕虫已将下列文件释放到你的系统中：

C:\WINDOWS\tserv.exe
C:\WINDOWS\tserv.dll
C:\WINDOWS\tserv.s
C:\WINDOWS\tserv.wax
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\msji449c14b7.dll
其中，e1.dll和msji449c14b7.dll插入explorer.exe进程，并动态跟踪并插入染毒后开启的所有进程。

2、病毒在注册表中添加下列启动项：
（1）在：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加：
tserv（指向C:\windows\tserv.exe）
（2）在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon分支的Userinit项下添加：
e1.dll，msji449c14b7.dll。其中e1.dll很难删除。

3、此蠕虫破坏卡巴斯基的服务加载项及卡巴斯基的启动项；是否还影响其它杀软，尚不清楚。

4、处理办法：
考虑到e1.dll和msji449c14b7.dll动态跟踪并插入其它程序进程这个特点，我用IceSword处理这个蠕虫。流程如下：
（1）打开IceSword。点击IceSword面板上的“文件”、“设置”。勾选“禁止进/线程创建”、“禁止协件功能”。按“确定”。
（2）右击IceSword进程名，点击“模块信息”。找到e2.dll和msji449c14b7.dll，分别选中它们，再点击“卸载”。
（3）结束系统核心进程以外的所有进程（只保留system、system idle process、lsass、csrss、smss、services、svchost）。
（4）用IceSword删除下列文件：
C:\WINDOWS\tserv.exe
C:\WINDOWS\tserv.dll
C:\WINDOWS\tserv.s
C:\WINDOWS\tserv.wax
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\msji449c14b7.dll
（5）用IceSword删除病毒添加的启动项。
（6）点击IceSword面板上的“文件”、“设置”。取消“禁止进/线程创建”、“禁止协件功能”。按“确定”。
（7）同时按下Ctrl_Alt_Del，调出任务管理器，点击任务管理器工具栏上的“文件”、“新建任务”。键入explorer.exe，再点击“确定”。即可继续正常工作。
至于杀软服务及启动项被破坏问题，可以用事先备份的注册表项恢复。如果没有备份杀软的注册表项，可以重新安装杀软。