引用:

【海色の月的贴子】前几天去过一次，随便写了点…… http://ylsmqss.blogchina.com/3133810.html ...........................

呵呵，现在更有时间灌水了

21世纪呀，变化快，这不，小木马都上了那网站计数器了。

今天在一个论坛里看到的，记下了地址就跑去看看，哇，好东西，木马嘿，传奇木马嘿，下载下来看了看，从一些论坛上的帖子来看好像遇到这类木马的人也不少，下面写一下它们产生的文件和启动信息吧。

一个是lscnty.exe。
产生的文件有：
%Windows%\vbarun.dll
%System%\lscnty.exe
启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"KernelCheck"="%System%\lscnty.exe"
建立关机脚本：%system%\GroupPolicy\Machine\Scripts\scripts.ini，内容是：
[Shutdown]
0CmdLine=C:\WINNT\System32\lscnty.exe
0Parameters=AVP

还有一个是ptool32.exe。
产生的文件：
%System%\ptool32.exe
建立的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"KernelFaultCheck"="%System%\ptool32.exe"

另外说一下，这两个启动项可是用HijackThis扫描不到的，哈哈。
（很多论坛上还是经常只使用HijackThis来扫描分析LOG，应该再找点其它工具结合起来一起使用，或者是根据具体情况选择不同的工具）
http://ylsmqss.blogchina.com/3133810.html