引用:

【Greysign的贴子】不好意思.刚才去开会和杀毒了. 忙了那么久.终于把电脑清理干净了. 猫叔我现在发过去.注意查收. 还有.我的空间可以打开啊. ………………

1.exe
创建文件：
C:\windows\system32\Cnscheck001.dll（动态插入用户应用程序进程）
更改注册表：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
添加{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}

HKCR\CLSID\
添加{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}
——————————————
3.exe
创建文件：
C:\windows\system32\Drivers\modol.sys
更改注册表：
删除HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Shell
添加HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\load

改写内存。注入其它进程。
————————————————
4.exe
创建文件：
C:\windows\Intel\rundll32.exe
C:\Documents and Settings\baohelin\Local Settings\Temp\$$c269.tmp.bat

更改注册表：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加rzt

rundll32.exe运行后，创建文件C:\windows\system32\ztdll.dll
ztdll.dll注入其它程序进程中
————————————————————
moi.com

创建文件：
C:\Program Files\Internet Explorer\PLUGINS\system.jmp
C:\Program Files\Internet Explorer\PLUGINS\system18.sys

system18.sys注入其它进程

注册表改动：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
添加{6E44887F-5214-41F2-AB46-4728735C4CC6}
HKCR\CLSID\
添加{6E44887F-5214-41F2-AB46-4728735C4CC6}

这些杂碎，不能反映中招后的全景。
我好像见过这个下载器（有些文件似曾相识）。见这个帖子：http://forum.ikaka.com/topic.asp?board=28&artid=8207808

晕了哦...也太多了吧

嗯.我也是零零碎碎地抓.
这些都是比较明显的.
我自己处理后上QQ还是有点...哎.总觉得这个病毒还没这么简单.一定还有什么东西留着没发觉.

猫叔不如你去U9看看吧.
你是用什么监控到这些东西的?

还有在临时文件夹里面还有一个“mccrar.exe”这个文件。1-5.exe和"moi.exe"也都在里面。我用木马清道夫的防墙和AVG也只查到包括上面总共的四五个病毒。后来用IceSword卸除了explorer的system18.sys后就没再加载过了。