请参照我的博客 查杀www。7255。com （原创）或本论坛的帖子http://btbaicai.com/read-htm-tid-492.html

10.25.20:57   重要补充：：

在360安全卫士论坛和反7939联盟感染7255的网友扫上来的快照中，发现：
第1个可疑文件：

O23 - 未知 - Service: BRGNS [注册表安全保护器，提供完整的注册表保护机制。
C:\WINDOWS\SYSTEM32\RUNDLL.EXE C:\WINDOWS\SYSTEM32\WBEM\MWKUBU09.DLL,Export 1087

O23 - 未知 - Service: ClipArt [运行事件服务器，记录基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。 C:\WINDOWS\System32\poxijh42.dll

（来源 beyond981031 http://bbs.360safe.com/viewthread.php?tid=15650）

第2个可疑文件：

O23 - 未知 - Service: ClipArt [启用内核的安全服务器，保护 Windows 的防火墙和内置过滤器正常运行。无法终止此服务。] -
C:\WINDOWS\system32\wstiei68.dll

（来源：kfcoo
http://bbs.360safe.com/viewthread.php?tid=14189&pid=70500&page=1&extra=#pid70500）

第3个可疑文件：14.P00 - 正在运行的服务 - Portable Equipment Service，Microsoft Corporation，
相关文件：C:\WINDOWS\system32\omywtd83.dll
内容：C:\WINDOWS\System32\svchost.exe -k netsvcs
来源：youcaiqing （http://btbaicai.com/read-htm-tid-506.html#2331）

此点很象我在测试时用雅虎助手扫到的：
32.P00 - 正在运行的服务 - NT Data Provider，Microsoft Corporation，
相关文件：C:\WINDOWS\system32\run32.exe C:\WINDOWS\SYSTEM32\WBEM\VMJKUN21.DLL,Export 1087

看来7255注入到系统进程中的文件名是随机的，不固定的，但有一点共同的地方就是目录一样，还有个关键词“,Export 1087”！！还有一个就是病毒文件是一个8位的DLL文件，而且后2位是数字！！此文件名在百度搜索中并没有正常的使用纪录。
这大概是一些网友看了我的帖子后并没有找到病毒文件的原因。
建议没有安装360或雅虎助手的中奖者在注册表搜索Export 1087，即可锁定病毒文件！！然后据此线索搜索其他同时创建的病毒文件，一起删掉。建议你用卫士或助手扫一下更容易找到。

此观点仅供大家杀毒时参考，还需要以上中招的网友验证，我并无十分把握，特此说明。

天天来看楼主发新帖