這個后門還不錯，也有點BT吧，共產生14個文件＋3個快捷圖標＋2個文件夾。注冊表部分，除了1個Run和System.ini，比較有特點是，非普通地利用了EXE文件關聯，先修改了.exe的默認值，改.exe從默認的 exefile更改為winfiles，然后再創建winfiles鍵值，使EXE文件關聯與木馬掛鉤。附圖即為中毒后，任意一個EXE文件的屬性，留意黃圈部分，“應用程序”變成“EXE文件”
當然，清除的方法也很簡單，不過需要注意步驟：
一、注冊表：先使用注冊表修復工具，或者直接使用regedit修正以下部分
1.SYSTEM.INI （NT系統在注冊表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon）
shell = Explorer.exe 1 修改為shell = Explorer.exe
2.將 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe刪除
3. HKEY_Classes_root\.exe
默認值 winfiles 改為exefile
4.刪除以下兩個鍵值：
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
二、然后重啟系統，刪除以下文件部分，注意打開各分區時，先打開“我的電腦”后請使用右鍵單擊分區，選“打開”進入。或者直接執行附件的Kv.bat來刪除以下文件
c:\antorun.inf （如果你有多個分區，請檢查其他分區是否有這個文件，有也一并刪除）
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
刪除以下文件夾：
%windir%\debug
%windir%\system32\NtmsData