上午试运行了下~在SSM有如下发现~~(与老版的那个帖子有些出入~~)

(上面还有两步,这里就不帖了~~)

父级进程：
  路径： C:\Program Files\Common Files\qq1.exe
子级进程：
  路径： C:\WINDOWS\regedit.exe
  信息： Registry Editor (Microsoft Corporation)
  命令行：regedit /s c:\dat3.reg

修改<ctfmon>值为<C:\windows\ctfmon.exe>C:\windows\regedit.exe

进程：
  路径： C:\WINDOWS\regedit.exe
  信息： Registry Editor (Microsoft Corporation)
注册表分组：
对象：
  注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
  注册表值： SyncMode5
  新的值:
      类型: REG_DWORD
      值： 00000003
  先前值:
      类型: REG_DWORD
      值： 00000004

父级进程：
  路径： C:\Program Files\Internet Explorer\IEXPLORE.EXE
  信息： Internet Explorer (Microsoft Corporation)
启动
子级进程：
  路径： C:\Program Files\Common Files\mh1.exe
  命令行："C:\Program Files\Common Files\mh1.exe"

进程：
  路径： C:\WINDOWS\regedit.exe
  信息： Registry Editor (Microsoft Corporation)
注册表分组：
添加对象
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  注册表值： ctfmon
      类型: REG_SZ
      值： C:\windows\ctfmon.exe

父级进程：
  路径： C:\Program Files\Common Files\qq1.exe
启动
子级进程：
  路径： C:\WINDOWS\CTFMON.exe
  命令行：C:\windows\CTFMON.exe

进程：
  路径： C:\Program Files\Common Files\mh1.exe
修改其内存
对象：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
此项用以修改其它程序的虚拟内存且可能改变其性能。

父级进程：
  路径： C:\Program Files\Internet Explorer\IEXPLORE.EXE
  信息： Internet Explorer (Microsoft Corporation)
启动
子级进程：
  路径： C:\Program Files\Common Files\zt1.exe
  信息：  (GtD98wl9NLxsBCcvZTQh)
  命令行："C:\Program Files\Common Files\zt1.exe"

父级进程：
  路径： C:\WINDOWS\CTFMON.exe
启动
子级进程：
  路径： C:\WINDOWS\regedit.exe
  信息： Registry Editor (Microsoft Corporation)
  命令行：regedit /s c:\dat3.reg


附:{PG报, C:\WINDOWS\CTFMON.exe安装全局钩子~~(Callwndproc)}


进程：
  路径： C:\Program Files\Common Files\mh1.exe
对象：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
此项用以修改其它程序的虚拟内存且可能改变其性能。


父级进程：
  路径： C:\Program Files\Common Files\zt1.exe
  信息：  (GtD98wl9NLxsBCcvZTQh)
启动
子级进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
  命令行：C:\windows\SMSS.EXE

进程：
  路径： C:\Program Files\Common Files\mh1.exe
试图控制
对象：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
试图控制(可能想关闭)
对象：
  路径： C:\Program Files\Rising\Rav\CCenter.exe
  信息： CCenter (Beijing Rising Technology Co., Ltd.)
此项允许获得全部控制于另一进程的某线程上，且可能被用于“DLL注入”。

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
注册表分组：
试图添加对象
对象：
  注册表键： HKCU\Software\Microsoft\Internet Explorer\Main
  注册表值： Check_Associations
      类型: REG_SZ
      值： No

进程：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
创建
注册表对象：
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer


进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
修改
注册表分组：
对象：
  注册表键： HKCR\ftp\shell\open\command
  注册表值： （默认）
  新的值:
      类型: REG_SZ
      值： "C:\Program Files\Internet Explorer\iexplore.com" %1
  先前值:
      类型: REG_SZ
      值： "C:\Program Files\Internet Explorer\iexplore.exe" %1

进程：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
添加对象
注册表分组：
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run


进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
修改
注册表分组：
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  注册表值： Shell
  新的值:
      类型: REG_SZ
      值： Explorer.exe 1
  先前值:
      类型: REG_SZ
      值： Explorer.exe

此时,我断开了网络~(要不,再过一会,这儿就成土匪窝了~~)

进程：
  路径： C:\WINDOWS\explorer.exe
  信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
  注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif

进程：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
注册表分组：
添加
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
  注册表值： CheckFaultKernel
      类型: REG_SZ
      值： C:\windows\system32\mswdm.exe{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}{0x00}

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
添加
注册表分组：
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  注册表值： TProgram
      类型: REG_SZ
      值： C:\windows\SMSS.EXE

进程：
  路径： C:\WINDOWS\explorer.exe
  信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
  注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
添加
注册表分组：
对象：
  注册表键： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
  注册表值： TProgram
      类型: REG_SZ
      值： C:\windows\SMSS.EXE

进程：
  路径： C:\WINDOWS\explorer.exe
  信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
  注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell


进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCR\winfiles

进程：
  路径： C:\WINDOWS\explorer.exe
  信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
  注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCR\winfiles\DefaultIcon

进程：
  路径： C:\WINDOWS\explorer.exe
  信息： Windows Explorer (Microsoft Corporation)
创建
注册表对象：
对象：
  注册表键： HKLM\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCR\winfiles\Shell\Open\Command

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCR\winfiles\Shell

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCR\winfiles\Shell\Open

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCR\winfiles\Shell\Open\Command



进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
获取网络存取权限
网络信息：
  IP 地址： 127.0.0.1
  信任的区域： 是
  协议： UDP


进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCU\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings



进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建~
注册表对象：
对象：
  注册表键： HKCU\Software\VB and VBA Program Settings(难道这个项都是它创建出来的~~~?)

进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCU\Software\VB and VBA Program Settings\Microsoft Soft Debuger

父级进程：
  路径： C:\WINDOWS\ExERoute.exe
  信息：  (GtD98wl9NLxsBCcvZTQh)
启动
子级进程：
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
  命令行：C:\windows\SMSS.EXE

进程： 
  路径： C:\WINDOWS\SMSS.EXE
  信息：  (GtD98wl9NLxsBCcvZTQh)
创建
注册表对象：
对象：
  注册表键： HKCU\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings

(我在桌面击右键~

父级进程：
  路径： C:\WINDOWS\ExERoute.exe
  信息：  (GtD98wl9NLxsBCcvZTQh)
启动
子级进程：
  路径： C:\WINDOWS\system32\rundll32.exe
  信息： Run a DLL as an App (Microsoft Corporation)
  命令行："C:\windows\system32\rundll32.exe" /d C:\windows\system32\shell32.dll,Control_RunDLL desk.cpl)


后续动作~
进程：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
修改
注册表分组：
对象：
  注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  注册表值： Cache
  新的值:
      类型: REG_SZ
      值： C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
  先前值:
      类型: REG_SZ
      值： C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files

进程：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
注册表分组：
对象：
  注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  注册表值： Cookies
  新的值:
      类型: REG_SZ
      值： C:\Documents and Settings\LocalService\Cookies
  先前值:
      类型: REG_SZ
      值： C:\Documents and Settings\NetworkService\Cookies

进程：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
注册表分组：
对象：
  注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  注册表值： History
  新的值:
      类型: REG_SZ
      值： C:\Documents and Settings\LocalService\Local Settings\History
  先前值:
      类型: REG_SZ
      值： C:\Documents and Settings\NetworkService\Local Settings\History

(如,我现在值:C:\Documents and Settings\yingzhi\Local Settings\History)
(这三个值,在我的注册表中还是显示我的用户名,不知它改了哪里~~~?)

进程：
  路径： C:\WINDOWS\system32\services.exe
  信息： Services and Controller app (Microsoft Corporation)
获取网络存取权限
网络信息：
  IP 地址： 127.0.0.1
  信任的区域： 是
  协议： UDP

另,下面是在清除时感觉到的~
mh1获得远程数据修改的权限

smss获得远程代码控制的权限

修改了exe文件关联

最后删除时有如下文件无法删除
qq1.exe
mh1.exe
zt1.exe
loadie.exe(源文件)
另,还有一个文件(c:\dat3.reg 没有找到~~估计运行后就被它删除了~~)
附:
防火墙被关
连上网络就退不出来~(只有硬关猫~~)
无法关机~

C:\WINDOWS\SMSS.EXE
C:\WINDOWS\CTFMON.exe
C:\WINDOWS\ExERoute.exe
还有,创建了N多的注册项,修改了许多值(上面可以看出~~)

如~
HKCU\Software\VB and VBA Program Settings
HKCR\winfiles
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
(这几个项好像都是它创建出来的~可能还有不少漏掉的~~也不知SSM对注册表的监控到底如何~~)

loadie.exe
版家已经讨论过...也知道了..

我看的狂晕 现在趋与复杂化 创建那么多东西 哎

....鄙视病毒````

【回复“影子110”的帖子】
qq1.exe
mh1.exe
zt1.exe
这三个是中上loadie.exe后（电脑处于连网状态），loadie.exe从网络上下载的木马。都是些老马，多数杀软可杀。
如果用户装了IDM，并由IDM接管所有下载任务，下载这些木马文件后，只要你不点击IDM的“打开文件”，这些木马不会自动运行。把它们删掉就是了。

如果安装了tiny  ...好象连网状态下什么玩意 都不会发生....

好厉害的病毒！不过看了七楼版主的解释，心稍安。
弱弱地问一声楼主，请赐教：这么长、这么详尽的纪录，是手工临时记的，还是SSM带有这么详尽的log？（只见SSM每一步有这些提示，不知道它是否留有日志）。