原帖地址：http://hi.baidu.com/drzebra/blog/item/7448bb5163e5da8f8c54308a.html
一、分析
1.查看进程，多出三个可疑internet.exe，SOUNDMAN.EXE，conime.EXE
2.在C:\WINDOWS里面有alcrmv.exe和alcupd.exe，SOUNDMAN.EXE这些程序
3.在目录"C:\WINDOWS\system"下：
IceHBO.dll
jwm.exe
wo2.exe
ztt.exe
conime.EXE （注：正常的conime.exe是输入法编辑器，在c:\windows\system32下面，大小为27,648 字节）
SYSTEM32.vxd
internet.exe

如果npf.sys、windhcp.ocx没有删除，仅删除后上述文件，有可能在目录"C:\WINDOWS\system"下再次生成
conime.exe
ienet.exe
jwm.exe
mir.exe
SYYTEM32.tmp
ztt.exe
等病毒文件。
4.察看explorer.exe加载的模块，可疑的为：
C:\WINDOWS\system32\windhcp.ocx

5. 察看服务管理，可疑的有：
"C:\WINDOWS\system32\Drivers\”下的
npf.sys
snapman.sys
wzpsazsn.sys

二、处理手段及步骤：
1.中止三个可疑的进程internet.exe，SOUNDMAN.EXE，conime.EXE
2.删除上述提到的文件
C:\WINDOWS下的：SOUNDMAN.EXE，alcrmv.exe和alcupd.exe
C:\WINDOWS\system下的：internet.exe、jwm.exe、wo2.exe、ztt.exe、conime.EXE、SYSTEM32.vxd、internet.exe
但是IceHBO.dll无法直接删除、可用IceSword1.2 删除
3."C:\WINDOWS\system32\Drivers\”下的可疑文件也用IceSword1.2删除
npf.sys
snapman.sys
wzpsazsn.sys
4.用syscheck 卸载IE加载的可疑的模块windhcp.ocx，步骤为：
syscheck->进程管理->选中explorer.exe（还是iexplorer.exe?有点忘记了!!）->
在模块信息栏中选中windhcp.ocx->点击右键在弹出菜单中选择“卸载并删除模块”
或：
开始菜单—>运行—>services.msc，里面有个Windows DHCP Services，如在运行，则停止之,设为“已禁用”。C:\windows\system32\Drivers下，找到xpdhcp.dll/windhcp.ocx，删除之。
5.搜索注册表，删除含有internet.exe，conime.EXE内容的条目

ok!

===============备注=================
1.Internet.EXE--网络神偷
网络神偷会在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]下建立键值“internet”，其值为internet.exe /s，将键值删除；
删除其自启动程序C:\Windows\SYSTEM\Internet.EXE。 神偷完蛋了！
2.conime.exe-【伪装成输入法】以开机自运行
在C:\WINDOWS\system下伴随conime.exe出现的常有SYSTEM32.tmp、jwm.exe等文件
3.soundman.exe启动项,可能是声卡服务程序,声卡优化用的,删除了也不要紧的。
4.npf.sys--注册为一个服务程序，且在“控制面板->管理工具->服务”中看不到，要在注册表中才能看到： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Npf
可能与ARP木马有关：
点开始里的搜索查找Loadhw.exe，Msitinit.dll，Npf.sys文件，找到了就删除。
运行regedit，查找注册表的loadhw.exe，Msitinit.dll，Npf.sys找到了就删除。OK了！