連接的IRC信道：darkjester.xplosionirc.net

　　IP地址：89.159.185.142

　　標準IRC控制命令：

NICK [%s][%iH]%s
 
　　lol lol lol :shadowbot 
　　USER %s
 
　　#test 
　　JOIN %s
 
　　%s 
　　PING : 
　　PING : 
　　PING : 
　　PONG :%s
 
　　404JOIN %s
 
　　#test 
　　JOIN %s
 
　　KICK 
　　#test 
　　JOIN %s
 
　　PRIVMSGNOTICE 
　　NOTICE

　　注釋：

　　%Windir% WINDODWS所在目錄

　　%DriveLetter% 邏輯驅動器根目錄

　　%ProgramFiles% 系統程序默認安裝目錄

　　%HomeDrive% 當前啟動系統所在分區

　　%Documents and Settings% 當前用戶文檔根目錄

　　%Temp% 當前用戶TEMP緩存變量；路徑為：

　　%Documents and Settings%當前用戶\Local SettingsTemp

　　%System32% 是一個可變路徑；

　　病毒通過查詢操作系統來決定當前System32文件夾的位置；

　　Windows2000/NT中默認的安裝路徑是　C：WinntSystem32；

　　Windows95/98/Me中默認的安裝路徑是　C：WindowsSystem；

　　WindowsXP中默認的安裝路徑是　C：WindowsSystem32.

　　清除方案：

　　1、使用安天木馬防線可徹底清除此病毒（推薦），請到安天網站下載：www.antiy.com .

　　2、手工清除請按照行為分析刪除對應文件，恢復相關系統設置。推薦使用ATool（安天安全管理工具），ATool下載地址： www.antiy.com或http://www.antiy.com/download/index.htm .

　?。?） 使用安天木馬防線或ATool中的“進程管理”關閉病毒進程

　　（2） 強行刪除病毒文件

　　%WINDIR%photo album.zip

　　%system32% dshost.dll

　　（3） 恢復病毒修改的注冊表項目，刪除病毒添加的注冊表項

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

　　鍵值：字串："rdshost "= "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

　　HKEY_CLASSES_ROOTCLSID{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}InProcServer32

　　鍵值：字串："@"="rdshost.dll"

　　注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為可變字串。