病毒名称： Virus.Win32.AutoRun.nd
病毒类型： 病毒
文件 MD5： c86b4e8098668444632f4bb8089acd8b
公开范围： 完全公开
危害等级： 5
文件长度： 32,195字节
感染系统： Win98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： NsPacK V3.7

　　该病毒运行后会将病毒自身和一个inf文件衍生到每个逻辑驱动器的根目录下，当用户双
击该驱动器就会启动该病毒；将衍生文件注入到explorer.exe中；修改注册表，添加启动项，
以达到随机启动的目的；添加注册表项对安全软件映像劫持，以将低系统的安全性能，破坏安
全模式。

本地行为：

1、文件运行后会释放以下文件：

　　　　%ProgramFiles%\meex.exe 　　　　　　　　　　　　　　　　　32,195字节
　　　　%ProgramFiles%\Common Files\Microsoft Shared\.exe 　　　　32,195字节
　　　　%ProgramFiles%\Common Files\Microsoft Shared\.inf 　　　　148字节
　　　　%ProgramFiles%\Common Files\System\.exe 　　　　　　　　　32,195字节
　　　　%ProgramFiles%\Common Files\System\.inf 　　　　　　　　　148字节
　　　　%DriveLetter%\.exe 　　　　　　　　　　　　　　　　　　　 32,195字节
　　　　%DriveLetter%\autorun.inf 　　　　　　　　　　　　　　　　148字节

2、新增注册表：

　　　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　　　注册表值"(Default)"
　　　　类型：REG_SZ
　　　　值：C:\Program Files\Common Files\System\.exe
　　　　描述：修改注册表，添加启动项，以达到自启动的目的
　　　　病毒还会添加注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows 　　　　
　　　　NT\CurrentVersion\Image File Execution Options]对安全软件映像劫持，当
　　　　用户运行这些被劫持的软件时，被劫持软件并不会被执行，实际执行的是病毒程
　　　　序，被劫持的软件列表如下：

　　　　360rpt.exe
　　　　360Safe.exe
　　　　360tray.exe
　　　　adam.exe
　　　　AgentSvr.exe
　　　　AppSvc32.exe
　　　　ArSwp.exe
　　　　AST.exe
　　　　avconsol.exe
　　　　avgrssvc.exe
　　　　AvMonitor.exe
　　　　avp.com
　　　　avp.exe
　　　　CCenter.exe
　　　　ccSvcHst.exe
　　　　EGHOST.exe
　　　　FileDsty.exe
　　　　FTCleanerShell.exe
　　　　FYFireWall.exe
　　　　HijackThis.exe
　　　　IceSword.exe
　　　　iparmo.exe
　　　　Iparmor.exe
　　　　isPwdSvc.exe
　　　　kabaload.exe
　　　　KaScrScn.SCR
　　　　KASMain.exe
　　　　KASTask.exe
　　　　KAV32.exe
　　　　KAVDX.exe
　　　　KAVPF.exe
　　　　KAVPFW.exe
　　　　KAVSetup.exe
　　　　KAVStart.exe
　　　　KISLnchr.exe
　　　　KMailMon.exe
　　　　KMFilter.exe
　　　　KPFW32.exe
　　　　KPFW32X.exe
　　　　KPfwSvc.exe
　　　　KRegEx.exe
　　　　KRepair.com
　　　　KsLoader.exe
　　　　KVCenter.kxp
　　　　KvDetect.exe
　　　　KvfwMcl.exe
　　　　KVMonXP.kxp
　　　　KVMonXP_1.kxp
　　　　kvol.exe
　　　　kvolself.exe
　　　　KvReport.kxp
　　　　KVScan.kxp
　　　　KVSrvXP.exe
　　　　KVStub.kxp
　　　　kvupload.exe
　　　　kvwsc.exe
　　　　KvXP.kxp
　　　　KvXP_1.kxp
　　　　KWatch.exe
　　　　KWatch9x.exe
　　　　KWatchX.exe
　　　　loaddll.exe
　　　　MagicSet.exe
　　　　mcconsol.exe
　　　　mmqczj.exe
　　　　mmsk.exe
　　　　Navapsvc.exe
　　　　Navapw32.exe
　　　　nod32.exe
　　　　nod32krn.exe
　　　　nod32kui.exe
　　　　NPFMntor.exe
　　　　PFW.exe
　　　　PFWLiveUpdate.exe
　　　　QHSET.exe
　　　　QQDoctor.exe
　　　　QQKav.exe
　　　　QQLiveUpdate.exe
　　　　QQSC.exe
　　　　QQUpdateCenter.exe
　　　　Ras.exe
　　　　Rav.exe
　　　　RavMon.exe
　　　　RavMonD.exe
　　　　RavStub.exe
　　　　RavTask.exe
　　　　RegClean.exe
　　　　rfwcfg.exe
　　　　rfwmain.exe
　　　　rfwsrv.exe
　　　　RsAgent.exe
　　　　Rsaupd.exe
　　　　rstrui.exe
　　　　runiep.exe
　　　　safelive.exe
　　　　scan32.exe
　　　　shcfg32.exe
　　　　SmartUp.exe
　　　　SREng.EXE
　　　　symlcsvc.exe
　　　　SysSafe.exe
　　　　Timwp.exe
　　　　TrojanDetector.exe
　　　　Trojanwall.exe
　　　　TrojDie.kxp
　　　　UIHost.exe
　　　　UmxAgent.exe
　　　　UmxAttachment.exe
　　　　UmxCfg.exe
　　　　UmxFwHlp.exe
　　　　UmxPol.exe
　　　　upiea.exe
　　　　UpLive.exe
　　　　USBCleaner.exe
　　　　vsstat.exe
　　　　webscanx.exe
　　　　WoptiClean.exe

注： %System32% 是一个可变路径。病毒通过查询操作系统来决定当前 System文件夹的
位置。
　　
　　　　%Windir% 　　　　　 　　　　　 WINDODWS所在目录
　　　　%DriveLetter%　 　　　　　　　 逻辑驱动器根目录
　　　　%ProgramFiles%　 　 　　　　　 系统程序默认安装目录
　　　　%HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区
　　　　%Documents and Settings% 　　　当前用户文档根目录
　　　　%Temp% 　　　　　　　　　　　　\Documents and Settings
　　　　　　　　　　　　 　　　　　　　\当前用户\Local Settings\Temp
　　　　%System32% 　　　　　　　　　　系统的 System32文件夹
　　　　
　　　　Windows2000/NT中默认的安装路径是C:\Winnt\System32
　　　　windows95/98/me中默认的安装路径是C:\Windows\System
　　　　windowsXP中默认的安装路径是C:\Windows\System32　　　　　　　

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
　 　 (1)使用安天木马防线“进程管理”关闭病毒进程。
　 　 (2)删除病毒文件：　
　 　 　 　 %ProgramFiles%\meex.exe
　 　 　 　 %ProgramFiles%\Common Files\Microsoft Shared\.exe
　 　 　 　 %ProgramFiles%\Common Files\Microsoft Shared\.inf
　 　 　 　 %ProgramFiles%\Common Files\System\.exe
　 　 　 　 %ProgramFiles%\Common Files\System\.inf
　 　 　 　 %DriveLetter%\.exe
　 　 　 　 %DriveLetter%\autorun.inf　 　 　 　 　
　 　 (3)恢复病毒修改的注册表项目，删除病毒添加的注册表项。
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion\Run
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\360rpt.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\360Safe.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft　 　 　 　
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\360tray.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\adam.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion　 　 　 　
　 　 　 　 \Image File Execution Options\AgentSvr.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\AppSvc32.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\ArSwp.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\AST.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\autoruns.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\avconsol.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\avgrssvc.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\AvMonitor.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\avp.com
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\avp.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\CCenter.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\ccSvcHst.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\EGHOST.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\FileDsty.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\FTCleanerShell.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\FYFireWall.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\HijackThis.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\IceSword.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\iparmo.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\Iparmor.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
　 　 　 　 Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\isPwdSvc.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\kabaload.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KaScrScn.SCR
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KASMain.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KASTask.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KAV32.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KAVDX.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KAVPF.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KAVPFW.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KAVSetup.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KAVStart.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KISLnchr.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KMailMon.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KMFilter.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KPFW32.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KPFW32X.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KPfwSvc.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KRegEx.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KRepair.com
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KsLoader.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KVCenter.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KvDetect.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KvfwMcl.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KVMonXP.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KVMonXP_1.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\kvol.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\kvolself.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KvReport.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KVScan.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KVSrvXP.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KVStub.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\kvupload.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\kvwsc.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KvXP.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KvXP_1.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KWatch.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KWatch9x.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\KWatchX.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\loaddll.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\MagicSet.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\mcconsol.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\mmqczj.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\mmsk.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\Navapsvc.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\Navapw32.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\nod32.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\nod32krn.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\nod32kui.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\NPFMntor.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\PFW.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\PFWLiveUpdate.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\QHSET.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\QQDoctor.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\QQKav.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\QQLiveUpdate.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\QQSC.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\QQUpdateCenter.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\Ras.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\Rav.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\RavMon.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\RavMonD.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\RavStub.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\RavTask.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\RegClean.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\rfwcfg.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\rfwmain.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\rfwsrv.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\RsAgent.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\Rsaupd.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\rstrui.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\runiep.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\safelive.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\scan32.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\shcfg32.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\SmartUp.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\SREng.EXE
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\symlcsvc.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\SysSafe.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\Timwp.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\TrojanDetector.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\Trojanwall.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\TrojDie.kxp
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\UIHost.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\UmxAgent.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\UmxAttachment.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\UmxCfg.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\UmxFwHlp.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\UmxPol.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\upiea.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\UpLive.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\USBCleaner.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\vsstat.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\webscanx.exe
　 　 　 　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
　 　 　 　 \Windows NT\CurrentVersion
　 　 　 　 \Image File Execution Options\WoptiClean.exe

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net