_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
9.将HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue的值改为0x00000001 破坏显示隐藏文件
10.删除system\currentcontrolset\control\safeboot\network
和system\currentcontrolset\control\safeboot\minimal键
破坏安全模式
11.查找指定窗口的名称,并将其关闭
安全卫士
扫描
专杀
注册表
process
进程
毒
木马
防御
防火墙
病毒
检测
firewall
virus
anti
金山
江民
卡巴斯基
worm
杀毒
12.启动c:\program files\internet explorer\iexplore.exe下载木马
下载http://www.*/1.exe~http://www.*/6.exe
到temp文件夹下面分别命名为downfile.exe~downfile5.exe
其中的1.exe又是一个木马下载器,它可以下载很多木马,但测试中并未植入成功...
13.同时在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面添加注册表项目
<calc.exe><%SystemRoot%\system32\calc.exe>使得calc.exe开机启动 但不知具体有什么作用...
14.在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon下面添加注册表项目
<WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []
15.病毒体内有文字:“nofixups!”“just test !”
全部木马和病毒植入完毕后的sreng日志如下:
启动项目
注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
<calc.exe><%SystemRoot%\system32\calc.exe> [(Verified)Microsoft Windows Publisher]
<Cifmon><C:\WINDOWS\system32\Server.EXE> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Winlogon]
<WinlogonNotify: Winlogon><C:\WINDOWS\system32\Winlogon.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
<IFEO[360rpt.exe]><C:\HDM.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
<IFEO[360Safe.exe]><C:\HDM.exe> []...
==================================
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Auto Start]
<system32\DRIVERS\comint32.sys><N/A>
[MS / MS][Stopped/Manual Start]
<\??\C:\DOCUME~1\NEWCEN~1\LOCALS~1\Temp\tmp13.tmp><N/A>
[RESSDT / RESSDT][Stopped/Manual Start]
<\??\c:\RESSDT.sys><N/A>
[usbmouseb / usbmouseb][Running/Manual Start]
<\??\C:\WINDOWS\SYSTEM32\drivers\smbins.sys><N/A>
==================================
正在运行的进程
[PID: 1148][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-
2158)]
[C:\WINDOWS\system32\Insert.dll] [N/A, ]
[PID: 1428][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\SYSTEM32\smbins.dll] [Microsoft Corporation, 5, 0, 2195, 3649]
==================================
Autorun.inf
[C:\]
[AutoRun]
OPEN=HDM.exe
shellopen=打开(&O)
shellopenCommand=HDM.exe
shellopenDefault=1
shellexplore=资源管理器(&X)
shell\explore\command=HDM.exe
[D:\]
[AutoRun]
OPEN=HDM.exe
