此病毒的变种只会释放如下文件：可采用断电解决方案
%System%\com\lsass.exe 95,744 字节 (md5:1E05A4F77A3A65BFC7C9F2E42C7C0B5E)
%System%\com\smss.exe 40,960 字节(md5:2C5834F823066354D9E92396ECACA50D)
%System%\dnsq.dll 32,256 字节(md5:46E993717175142DCDFFBDD53E30CA9D)
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\~.exe.??????.exe (随机6~8位数字)
(md5:13949CF3910B0D255439136EC1B6CD78)或者(md5:7F3537DD29D7006D204EBBA77770384E)
C:\Documents and Settings\"当前用户"\「开始」菜单\程序\启动\~.exe.??????.exe (随机6~8位数字)
(md5:13949CF3910B0D255439136EC1B6CD78)或者(md5:7F3537DD29D7006D204EBBA77770384E)
每个磁盘根目录下都会释放下面两个文件，包括系统盘
X:\AUTORUN.INF   172 字节(md5:106B537598BCE8003D787F4C47E6ECB9)
X:\pagefile.pif   95,744 字节(md5:1E05A4F77A3A65BFC7C9F2E42C7C0B5E)

此变种是从“开始菜单”的“启动”项启动，向系统进程注入 dnsq.dll ，然后从“启动”项里删除自己，（拦截系统关机函数，用户关机时再次写入）

因为此病毒拦截了多个系统API函数，所以想要手动查杀该病毒不是太容易，因为此病毒会阻止 冰刃、SReng 等工具启动。。。

下面只说一种方法，“断电”
1. 首先保证你的启动项里没有 ~.exe.???????.exe 格式的文件(?代表随机6~8位数字)
方法是，启动cmd ，进入“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\”，利用 attrib 命令查看，是否有残余的 ~.exe.?????.exe ，若有，请删除，命令如下：
attrib -s -h ~.exe*
del ~.exe*

2. 上面步骤还包括你的其它用户的启动项哦，等你都搞定后，现在，不要操作你的电脑了， 找到你的电脑电源插板，拔掉电源再插上，

3. 等你的系统重新启动，切忌，不要打开“我的电脑”等操作，否则病毒就会重新发作，刚才的操作步骤就白费啦
(1): "开始"-"运行"，输入 cmd 启动命令行窗口
(2): 依次在您的分区根目录下输入以下命令：(X:代表你的C、D、E等所有分区盘符，不要忘记你的移动硬盘 U盘哦)
       X:>attrib -s -h -r autorun.inf
       X:>attrib -s -h -r pagefile.pif
       X:>del autorun.inf
       X:>del pagefile.pif
4. 下面可以接着用cmd窗口删除其它的病毒文件(此处C是你的系统盘)
       C:>cd windows\system32 （假如你的是2000系统，则命令是cd winnt\system32 ）
       C:\windows\system32> attrib -s -h -r dnsq.dll
       C:\windows\system32> del dnsq.dll
       C:\windows\system32> cd com
       C:\windows\system32\com> attrib -s -h -r lsass.exe
       C:\windows\system32\com> attrib -s -h -r smss.exe
       C:\windows\system32\com> del lsass.exe
       C:\windows\system32\com>del smss.exe

好了，以上的步骤是专门针对此变种的，对其它变种可能不适合。