样本来源：http://keygen.name/download/delta.force.xtreme_keygen.exe

特点：
1、Keygen.exe运行后，在system32文件夹中释放一个随机文件名的DLL（本次感染释放的是：rqrsppn.dll）。随后，将Keygen.exe自身删除。
2、该DLL插入winlogon进程。若用IceSword强制卸除该DLL————系统崩溃，重启。
3、此DLL木马有注册表守护功能。本次感染，木马添加的注册表项如下：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{35845E32-35D9-46BB-9240-258AB96391C5}"=""

HKEY_CLASSES_ROOT\CLSID\
{35845E32-35D9-46BB-9240-258AB96391C5}

4、删除上述注册表项后，木马立即原样写入。用SSM禁止写入注册表——无效。
5、用SSM禁止rqrsppn.dll运行————无效。
杀毒流程：

1、打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支，找到木马写入的内容（本例为：{35845E32-35D9-46BB-9240-258AB96391C5}）。
展开HKEY_CLASSES_ROOT\CLSID\，找到木马写入的CLSID（本例为{35845E32-35D9-46BB-9240-258AB96391C5}），并记下其指向的文件名及其路径。
2、用IceSword禁止进程创建。
3、删除木马添加的注册表项。
4、删除木马文件（本例为C:\windows\system32\rqrsppn.dll）。
5、待到硬盘指示灯不亮了，关闭计算机电源开关。搞掂。

引用:

【女校男生的贴子】通电以后就没事了吗? 断电直接拔插头?? ………………

断电前注意：等到 硬盘灯不亮了，再关闭计算机电源开关（这是常识）。
按照上述步骤操作后，此病毒即被杀死（实战结果证实）。

引用:

【not的贴子】 那个CLASS ID我也没检测到,.......... ………………

那个CLASS ID的发现，其实不难。瑞星用户，那个分支下的的CLSID只有一个（见图），指向瑞星相关程序。如果有其它的CLSID，应该仔细追查清楚。

引用:

【not的贴子】那个键值写入的时候应该能检测吧? 就用您这个图上的工具检测的?还是您自己手动查找的那? ………………

Tiny（一个英文版防火墙）的Track'nReverse可以检测此毒感染系统的全部信息。
对于新手来说，这个墙较难使用。