感染用户症状：
任务管理器中可以看到 有 Rpcd.exe 或 RpcS.exe  的进程在运行，并且以  SYSTEM 帐号启动。或者是 SYSTEM 帐号启动 的 IEXPLORE.EXE 进程。

在 系统服务 里面的 显示名称：Remote Procedure Call System(RPCS)，伪装成正常系统服务。或者显示 Windows Createddos ，伪装成正常系统服务。

病毒在运行时后台调用IE程序进行连接病毒作者控制的服务器获取要攻击的IP列表,并接受控制指令对第三方IP地址发送UDP报文攻击.

病毒可执行文件路径 在
\WINDOWS\system32\RpcS.exe 和 \WINDOWS\system32\RpcS.dll 或
\WINDOWS\system32\Rpcd.exe 和 \WINDOWS\system32\Rpcd.dll 或
\WINDOWS\system32\ipci.exe
手动清除办法：
1. 在任务管理器里终止  Rpcd.exe 或  RpcS.exe  或以  SYSTEM 帐号启动 的 IEXPLORE.EXE 进程。

2.在系统服务里面 禁用 Remote Procedure Call System(RPCS) 此系统服务(也许名称是 Windows Createddos )。
3.删除
\WINDOWS\system32\RpcS.exe
\WINDOWS\system32\RpcS.dll
或者
\WINDOWS\system32\Rpcd.exe
\WINDOWS\system32\Rpcd.dll
或者
\WINDOWS\system32\ipci.exe
除了上述文件,还用SYSCHECK发现c:\windows\system32\sysdrv.dll开机就被winlogon调用,连安全模式下也同样会加载!后来用ICE修改SYSDRV.DLL大小,重新启动后不再加载