病毒会自动监视任务管理器进程，并且会自动将其终止。

　　此毒中招后的一个显著特征是：硬盘各个分区原有的正常文件夹被隐藏，代之以1KB的同名文件夹.lnk文件。误点击这些假冒文件夹后，病毒被激活。

　　这是个.vbs＋数据流双料病毒（病毒的数据流部分只在NTFS分区有效）。
　　此.vbs比较有个性：运行一次后，其MD5发生改变。RIS2010便不再认识它了（据网友反馈：KIS也是一样——杀旧不杀新）;但病毒行为不变。
　　此毒还有一个特点：如果仅仅删除了各分区根目录下的病毒文件.vbs、删除了system目录下的svchost.exe（实为系统程序wscript.exe）、删除了被病毒改写过的系统程序smss.exe（用备份替换）、删除了病毒创建的所有.lnk，当你双击“我的电脑”时，病毒又复活了。如果用“软件限制策略”的散列规则禁止wscript.exe运行，则双击我的电脑后系统报错，自然不能通过正常途径打开各个分区及各级目录。

　　用Tiny，将wscript.exe由信任组转入特殊组，设置文件访问及注册表访问规则，禁止非信任组程序的文件创建及注册表改写动作，然后，再双击“我的电脑”，此毒不能复活，且“我的电脑”以及各级目录可以顺利打开。

　　下面是我在网上找到的一款专杀工具（来自：http://bbs.ikaka.com/showtopic-8665656.aspx）按照其中的说明操作即可。

　　附：手工彻底杀灭此毒的流程应该是

1、先打开C:windowssystem32和C:windowssystem32dllcache目录。然后在组策略中用散列规则禁止WSCRIPT.EXE运行。
2、用IceSword禁止进程创建。结束WSCRIPT.EXE和windowssystemsvchost.exe进程。
3、删除所有分区根目录下的.vbs和autorun.inf。删除windowssystemsvchost.exe
4、删除硬盘各个分区中所有1KB的.lnk
5、将WINDOWS目录下的EXPLORER.EXE和系统目录下的SMSS.EXE移动到U盘或FAT32分区的硬盘分区（自动脱毒）。
6、删除WINDOWS目录下以及dllcache目录下的EXPLORER.EXE、%system%目录以及dllcache目录下的smss.exe（被病毒附加了数据流）。
7、取消”禁止进程创建“。将刚才移动到FAT32分区（或U盘）的那个EXPLORER.EXE和smss.exe移回系统目录以及dllcache目录。
8、修改注册表，显示被隐藏的正常文件夹。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN
"CheckedValue"=dword:00000002
9、删除病毒加载项：
展开HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
删除load键值项的数据。