file: server.

exe
size: 13327 bytes
md5: f6cac56e082ed27d232b87911f6d0442
sha1: 5183cf2b9ce262265294b7778e0a2a59cd6ea2b1
crc32: 2f3aa8fd
�ӿǷ�ʽ��nspack

�������к�
�ļ��仯:
� ��ļ�
c:\windows\system32\ime\svchost.exe
c:\windows\system32\progmon.exe
c:\windows\system32\internt.exe

��ͼ�����з���ĸ�Ŀ¼��д��setup.exe��autorun.inf

‫���ע‬仯��

��������alerter com+ ָ��c:\windows\system32\ime\svchost.exe

��hkey_local_machine\software\microsoft\windows\currentversion\run�
´�������Ŀ
<internt><c:\windows\system32\internt.exe>
<program file><c:\windows\system32\progmon.exe>
�

�Hklm\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\sh

owall\checkedvalueֵΪ0x00000000
�q���ʾ���

�‫ر‬մ�����������Ĵ��‫�ڣ‬
windows ���������
����
����
�Ż�
‫���ע‬
process
���
��
ľ��
����
�;�ǽ

� �system32�ļ��е����� Ϊ���

l�����磺
����http://www.xxxxxon9.com/tt11/psexec.exe
http://www.xxxxxon9.com/tt11/server.exe
��system32�ļ���
����Ϊ1.exe��2.exe
1.exe������ͼ���ʾ������ϵ��������
��ͼ��2.exe������ǰ���C:\windows\system32\ime\svchost.exe�����Ƶ�����
�����
���������û�������������̽
�û��� ����
administrator �� 123456 login love
admin �� 123456 login love
guest �� 123456 login love
home �� 123456 login love

�� ��http://union.itlearxxx.com/ip/getip.asp���Ⱦ ��

��Ⱦ������Ŀ¼�����exe�ļ��������������ֻ��һ�����û������Щ��ֻ�ǴӲ����п��
��ģ�
%program files%\windows media player
%windows%\system
%program files%\internet explorer\connection wizard
outlook express
windows media player
internet explorer
netmeeting
complus applications
messenger
winnt
documents and settings
system volume information
recycled
windowsupdate
windows nt
microsoft frontpage
movie maker
netmeeting
windows

�������‫����˲ڴ‬з�����ǰ���췢�ֵ��Ǹ�xiaohui��Qq�ţ�����

���취��

��ȫģʽ

��sreng
����Ŀ ‫ ���ע‬ɾ��������Ŀ (�������������ʶ����ȷ�ϲ��Dz��� �벻
Ҫɾ��)
<Internt><c:\windows\system32\internt.exe>
<program file><c:\windows\system32\progmon.exe>

������Ŀ��-������-��win32����Ӧ�ó����е �� ���֤��΢ ����Ŀ ����

ѡ��������Ŀ��� ɾ��� ��‫��� ٵ‬á����‫���ڵ‬Ŀ��е � �

[alerter com+ / alerter com+][stopped/auto start]
<c:\windows\system32\ime\svchost.exe><n/a>

������� ���뿽����±���Ȼ�����Ϊ1.reg�ļ�
windows registry editor version 5.00

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\fo
lder\hidden\showall]
"regpath"="software\\microsoft\\windows\\currentversion\\explorer\\advanced"
"text"="@shell32.dll,-30500"
"type"="radio"
"checkedvalue"=dword:00000001
"valuename"="hidden"
"defaultvalue"=dword:00000002
"hkeyroot"=dword:80000001
"helpid"="shell.hlp#51105"

˫��1.reg�����‫�� ����ע‬

ȥ��system32���������

��ʼ ���� ����cmd �������д��� ����attrib -h c:\windows\system32

˫���ҵĵ�� ���� ��ļ���ѡ� � ������ѡȡ"��ʾ����ļ����ļ���" �����"��������

ܱ IJ � � �ϵ
�ļ����Ƽ�"ǰ��Ĺ�������ʾȷ�����ʱ�������ǡ� Ȼ��ȷ��
Ȼ��ɾ��C:\WIndows\system32\ime\svchost.exe
c:\windows\system32\progmon.exe
c:\windows\system32\internt.exe
c:\windows\system32\1.exe
c:\windows\system32\2.exe
�Ҽ��� ��е� ��� � ���������
ɾ�� autorun.inf��setup.exe

ʹ��ɱ����ȫ��ɱ�� �����Ⱦ��exe�ļ�