本篇日志是从求助SREng日志整理出来的，主要表现是弹出广告，在收到邮件后，发现这个东东跟前段时间整理的流氓软件0848baisoa几乎一致，看来也只是一个毫无新意的升级版

病毒文件及文件夹

%windir%winamps.exe

%windir%realupdate.exe

%windir%POPNTS.DLL

%windir%ScNotify.dll

%system%{pchome}.setupf

添加注册表启动项

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]

updatereal%windir%realupdate.exeother

winsamps%windir%winamps.exe

冒充微软信息的启动项

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

NTCurrentVersionWinlogonNotify]

ScCardLogn%windir%ScNotify.dll

添加一个BHO

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID]

[HKEY_CLASSES_ROOTCLSID]

{DE7C3CF0-4B15-11D1-ABED-709549C10000}%windir%POPNTS.DLL

解决办法：

1、停止winamps.exe、realupdate.exe的进程

2、删除添加的所有注册表信息

3、重启后删除、或者使用Unlocker删除所有的病毒文件

PS：

1、由于病毒变种，可能实际情况与本文描述不同，但清除方法是一定的

2、由于其具备download马特征，除此之外，可能伴随着其他病毒或流氓软件