当该特洛伊木马的安装程序执行时，会执行以下操作： 创建文件 %System%\Cpan.dll。该文件具有隐藏属性。 -------------------------------------------------------------------------------- 注意： %System% 是一个变量。该广告软件会找到 Windows 安装文件夹，然后将自身复制到其中。默认为 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP). -------------------------------------------------------------------------------- 通过执行以下命令调用 Cpan.dll 文件： rundll32.exe ctrlpan,Restore Cpan.dll 文件加载后会执行以下操作： 创建文件， %Windir%\hh.htt 。 将值： "AppInit_DLLs"="cpan.dll" 添加到注册表键： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 这样，使在当前登录会话中运行的每个基于 Windows 的程序都会加载 .dll 文件。 添加值： "Control" = "" -------------------------------------------------------------------------------- 注意： 从系统时间生成。 -------------------------------------------------------------------------------- 到注册表键： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer 使用以下文本创建或覆盖 %System%\Drivers\Etc\Hosts 文件： 127.0.0.1 localhost 213.159.117.235 auto.search.msn.com 将值： "User Stylesheet"="%Windir%\hh.htt" "Use My Stylesheet"=0x1 添加到注册表键： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Styles 将值： "Start Page"="http:/ /aifind.info/" "Search Page"="http:/ /aifind.info/" "Search Bar"="http:/ /aifind.info/" 添加到注册表键： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 将值： "SearchURL"="http:/ /aifind.info/" 添加到注册表键： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer 将值： "SearchAssistant"="http:/ /aifind.info/" 添加到注册表键： HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search 在“收藏夹”文件夹和其中的“链接”子文件夹中创建几个指向色情网站的链接

Windows 95/98/Me/NT/2000
在 Windows 任务栏上，单击“开始”>“查找”或“搜索”>“文件或文件夹”。
在“搜索结果”窗口中，将“搜索范围”设置为 (C:) 并选中“包括子文件夹”。
在“要所搜索的文件或文件夹名为”或“搜索...”框中，键入被检测为 Trojan.Bookmarker.E 的 .dll 文件的文件名。
例如：
cpan.dll

单击“开始查找”或“立即搜索”。
Windows XP
在 Windows 任务栏上，单击“开始”>“搜索”。
单击“所有文件和文件夹”。
在“全部或部分文件名”框中，键入被检测为 Trojan.Bookmarker.E 的 .dll 文件的文件名。
例如：
cpan.dll

验证“在这里寻找”设置为“本地硬盘”或 (C:)。
单击“更多高级选项”。
选择“搜索系统文件夹”。
选择“搜索子文件夹”。
选择“搜索隐藏文件和文件夹”。
单击“搜索”。
6. 重命名文件和扩展名
请根据操作系统执行下面相应部分中的操作。
Windows 95/98/Me
在“搜索结果”框中，用鼠标右键单击找到的文件，然后单击“重命名”。
将该文件重命名为 Badfile.bad。对任何警告消息都单击“确定”或“是”。
关闭“查找”或“搜索”窗口。
Windows NT/2000/XP
单击“开始”，然后单击“运行”。（将出现“运行”对话框。）
键入（或复制并粘贴）下列命令，然后单击“确定”：
cmd /c "attrib -h %systemroot%\system32\cpan.dll & ren %systemroot%\system32\cpan.dll Badfile.bad"

7. 以安全模式重新启动计算机
--------------------------------------------------------------------------------
警告：请不要跳过此步骤。即使您已在安全模式下，也要再次将计算机重新启动到安全模式。不要以标准模式重新启动，否则会再次创建该特洛伊木马文件。
关闭计算机，关掉电源。至少等候 30 秒，然后以安全模式重新启动计算机。有关指导，请参阅文档：如何以安全模式启动计算机。
--------------------------------------------------------------------------------

8. 从注册表中删除值
--------------------------------------------------------------------------------
警告：对系统注册表进行任何修改之前，赛门铁克强烈建议您最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的注册表键。如需详细指示，请阅读「如何备份 Windows 注册表」文件。
--------------------------------------------------------------------------------

单击“开始”，然后单击“运行”。（将出现“运行”对话框。）
键入 regedit 然后单击“确定”。（将打开注册表编辑器。）
导航至以下键：
Windows 95/98/Me: 如果运行 Windows 95/98/Me，则跳到步骤 e。
Windows NT/2000/XP: 如果运行 Windows NT/2000/XP，则导航至以下键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

在右窗格中，删除值：
"AppInit_DLLs"="cpan.dll"

导航至以下键：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles

在右窗格中，删除值：
"User Stylesheet"="%Windir%\hh.htt"
"Use My Stylesheet"=0x1

退出注册表编辑器。
9. 扫描和删除文件
启动 Symantec 防病毒产品并执行全面的系统扫描。
如果有任何文件被检测为感染了 Trojan.Bookmarker.E，请单击“删除”。
以标准模式重新启动计算机。有关指导，请参阅文档：如何以安全模式启动计算机 中有关返回标准模式的适用部分。
10. 重设 Internet Explorer 主页
启动 Microsoft Internet Explorer。
连接 Internet 并进入想要设置为主页的网页。
单击“工具”，然后单击“Internet 选项”。
在“常规”选项卡的“主页”部分中，单击“使用当前页”，然后单击“确定”。
11. 重设 Internet Explorer 搜索页
启动 Microsoft Internet Explorer。
单击工具栏上的“搜索”图标。
在“搜索”窗格中，单击“自定义”。
单击“重置”。
单击“自动搜索设置”。
从下列列表中选择搜索网站，然后单击“确定”。
单击“确定”。
12. 删除添加到收藏夹中的链接
启动 Internet Explorer。
单击“收藏”，然后单击“整理收藏夹”。
删除该特洛伊木马插入的色情网站链接。

13. 删除添加到 Windows 主机文件的 DNS 项
--------------------------------------------------------------------------------
注意：主机文件的位置并不固定，有些计算机可能没有该文件。例如，如果该文件存在于 Windows 98，它通常位于 C:\Windows 文件夹中；而在 Windows 2000 下，该文件则位于C:\WINNT\system32\drivers\etc 文件夹中。而且在不同的位置可能有该文件的多个副本。
--------------------------------------------------------------------------------
根据您的操作系统执行下面相应的操作：
Windows 98/Me/2000
单击“开始”，指向“查找”或“搜索”，然后单击“文件或文件夹”。
确保“搜索范围”设置为 (C:) 并选中了“包含子文件夹”。
在“名称”或“要搜索的文件或文件夹名为”框中，键入：
hosts

单击“开始查找”或“立即搜索”。对找到的每个文件执行以下操作：
用鼠标右键单击文件，然后单击“属性”。
取消选中“属性”对话框底部的“只读”（如果选中）。单击“确定”。
用鼠标右键单击文件，然后单击“打开方式”。
取消选中“始终使用该程序打开这些文件”复选框。
滚动程序列表，双击“记事本”。
删除以下列字符串开头的所有行：
213.159.117.235

关闭“记事本”，并在出现提示时保存更改。

Windows XP
单击“开始”，然后单击“搜索”。
单击“所有文件和文件夹”。
在“全部或部分文件名”框中，键入：
hosts

验证“在这里寻找”设置为“本地硬盘”或 (C:)。
单击“更多高级选项”。
选中“搜索系统文件夹”。
选中“搜索子文件夹”。
单击“搜索”。
单击“开始查找”或“立即搜索”。
用鼠标右键单击文件，然后单击“属性”。
取消选中“属性”对话框底部的“只读”（如果选中）。单击“确定”。
用鼠标右键单击文件，然后单击“打开方式”。
取消选中“始终使用该程序打开这些文件”复选框。
滚动程序列表，双击“记事本”。
删除以下列字符串开头的所有行：
213.159.117.235

关闭“记事本”，并在出现提示时保存更改