汗，本来过来发原创的，真不方便…………………………不发了……

http://hi.baidu.com/renlangliu/blog/item/d45ba35174918919367abeae.html

病毒行为：rootkit、内置浏览器功能、关闭属性对话框
使用rootkit手段建立IEXPL0RE.EXE隐藏进程后
rootkit是怎么实现的
还有其他的东西吧
靠IEXPL0RE.EXE、WebTime.exe来rootkit？

RegSnap v5.0 build 1711
(c) LastBit Software, support@lastbit.com  第一个快照
第二个快照

文件名  1 2
快照日期  2007-3-21 19:51:40 2007-3-21 19:53:21
电脑/用户名  EUSER-5CB53FE54 / euser EUSER-5CB53FE54 / euser
备注  -- --

在本报告中:
注册表报告
文件列表位于 C:\WINNT\*.*
文件列表位于 C:\WINNT\system32\*.*
文件列表位于 C:\Documents and Settings\euser\My Documents\*.*
文件列表位于 C:\Program Files\*.*




--------------------------------------------------------------------------------


注册表报告


摘要信息:
已删除键: 6
已修改键: 13
新建键 : 32
花费了 15 毫秒


已删除键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007020320070204\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007020320070204\CacheLimit
键值: DWORD: 8192 (0x2000)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007020320070204\CacheOptions
键值: DWORD: 11 (0xb)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007020320070204\CachePath
键值: 类型: REG_EXPAND_SZ 长度: 75 (0x4b) 字节

    000000: 25 55 53 45 52 50 52 4F 46 49 4C 45 25 5C 4C 6F  |  %USERPROFILE%\Lo    000010: 63 61 6C 20 53 65 74 74 69 6E 67 73 5C 48 69 73  |  cal Settings\His    000020: 74 6F 72 79 5C 48 69 73 74 6F 72 79 2E 49 45 35  |  tory\History.IE5    000030: 5C 4D 53 48 69 73 74 30 31 32 30 30 37 30 32 30  |  \MSHist012007020    000040: 33 32 30 30 37 30 32 30 34 5C 00                |  320070204\.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007020320070204\CachePrefix
键值: 字符串: ":2007020320070204: "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007020320070204\CacheRepair
键值: DWORD: 0 (0)
--------------
位置总数: 6

已修改键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C\_Autorun\LastUpdate
新: DWORD: 330765 (0x50c0d)
旧: DWORD: 234750 (0x394fe)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C\_DIL\LastUpdate
新: DWORD: 330765 (0x50c0d)
旧: DWORD: 234750 (0x394fe)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C\_DriveFlags\LastUpdate
新: DWORD: 344031 (0x53fdf)
旧: DWORD: 243625 (0x3b7a9)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C\_GVI\LastUpdate
新: DWORD: 343890 (0x53f52)
旧: DWORD: 241328 (0x3aeb0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\C\Version
新: DWORD: 36 (0x24)
旧: DWORD: 35 (0x23)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\StreamMRU\MRUListEx
新: 类型: REG_BINARY 长度: 72 (0x48) 字节

    000000: 09 00 00 00 10 00 00 00 04 00 00 00 08 00 00 00  |  ................    000010: 0E 00 00 00 0F 00 00 00 06 00 00 00 05 00 00 00  |  ................    000020: 07 00 00 00 0D 00 00 00 0C 00 00 00 0B 00 00 00  |  ................    000030: 0A 00 00 00 03 00 00 00 01 00 00 00 02 00 00 00  |  ................    000040: 00 00 00 00 FF FF FF FF                          |  ........

旧: 类型: REG_BINARY 长度: 72 (0x48) 字节

    000000: 09 00 00 00 10 00 00 00 08 00 00 00 0E 00 00 00  |  ................    000010: 04 00 00 00 0F 00 00 00 06 00 00 00 05 00 00 00  |  ................    000020: 07 00 00 00 0D 00 00 00 0C 00 00 00 0B 00 00 00  |  ................    000030: 0A 00 00 00 03 00 00 00 01 00 00 00 02 00 00 00  |  ................    000040: 00 00 00 00 FF FF FF FF                          |  ........

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count\HRZR_HVGBBYONE
新: 类型: REG_BINARY 长度: 16 (0x10) 字节

    04 00 00 00 08 00 00 00 60 EC F7 7C AF 6B C7 01  |  ........`..|.k..

旧: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 08 00 00 00 A0 BE 52 7E 56 47 C7 01  |  ..........R~VG..

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count\HRZR_HVGBBYONE:0k1,130
新: 类型: REG_BINARY 长度: 16 (0x10) 字节

    04 00 00 00 08 00 00 00 60 EC F7 7C AF 6B C7 01  |  ........`..|.k..

旧: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 08 00 00 00 A0 BE 52 7E 56 47 C7 01  |  ..........R~VG..

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count\HRZR_PGYFRFFVBA
新: 类型: REG_BINARY 长度: 8 (0x8) 字节

    7B 5D 3B 0E 04 00 00 00                          |  {];.....

旧: 类型: REG_BINARY 长度: 8 (0x8) 字节

    5F 10 3B 0E 03 00 00 00                          |  _.;.....

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU
新: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 30 00 00 00 30 7E 34 84 AF 6B C7 01  |  ....0...0~4..k..

旧: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 2D 00 00 00 10 69 DD 47 AF 6B C7 01  |  ....-....i.G.k..

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\JVAAG\flfgrz\gbbyf\ErtFanc\ErtFanc.rkr
新: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 09 00 00 00 30 7E 34 84 AF 6B C7 01  |  ........0~4..k..

旧: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 08 00 00 00 10 69 DD 47 AF 6B C7 01  |  .........i.G.k..

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_HVFPHG
新: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 1B 00 00 00 E0 6C FF 79 AF 6B C7 01  |  .........l.y.k..

旧: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 19 00 00 00 70 99 C8 D1 0D 62 C7 01  |  ........p....b..

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed
新: 类型: REG_BINARY 长度: 80 (0x50) 字节

    000000: C3 6C 95 2D 87 94 57 1B C6 7C 2A 91 D9 9F 3E FC  |  .l.-..W..|*...>.    000010: BC 35 20 2A 67 D4 28 61 30 59 50 C0 A7 01 06 35  |  .5 *g.(a0YP....5    000020: 9C 3C F0 30 89 69 37 E9 13 C7 DF 28 45 01 F7 6D  |  .<.0.i7....(E..m    000030: 51 F5 85 CD 8D 30 A7 56 95 5A 4B A2 C6 D7 C8 81  |  Q....0.V.ZK.....    000040: FF 92 9E EA E3 6B 10 E3 95 D2 5C 7D A2 D3 8A B6  |  .....k....\}....

旧: 类型: REG_BINARY 长度: 80 (0x50) 字节

    000000: 88 39 8A 61 59 06 A9 9F EA 61 0E C9 2E 37 89 50  |  .9.aY....a...7.P    000010: C7 A5 73 F9 CF 33 25 2C BF E4 70 F6 B8 30 35 17  |  ..s..3%,..p..05.    000020: FC 6F C0 56 80 B5 4C 48 30 69 13 61 48 58 FB DD  |  .o.V€.LH0i.aHX..    000030: 3D 24 CA 61 E6 88 5C 4E 04 42 E1 B7 D6 6F F8 8E  |  =$.a..\N.B...o..    000040: 8D 78 85 B1 63 B3 B3 06 8A 8F E2 D3 58 5C D0 80  |  .x..c.......X\.€

--------------
位置总数: 13

新建键
HKEY_CURRENT_USER\Software\LdShih\
HKEY_CURRENT_USER\Software\LdShih\LsFileExplorer\
HKEY_CURRENT_USER\Software\LdShih\LsFileExplorer\ParentImgIdx
键值: DWORD: 5 (0x5)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\JVAAG\flfgrz\gbbyf\fp.rkr
键值: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 06 00 00 00 B0 1F 0A 7E AF 6B C7 01  |  ...........~.k..

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\rhfre\桌面\SLSverJnyy.rkr
键值: 类型: REG_BINARY 长度: 16 (0x10) 字节

    01 00 00 00 06 00 00 00 B0 15 C5 6D AF 6B C7 01  |  ...........m.k..

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007032120070322\
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007032120070322\CacheLimit
键值: DWORD: 8192 (0x2000)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007032120070322\CacheOptions
键值: DWORD: 11 (0xb)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007032120070322\CachePath
键值: 类型: REG_EXPAND_SZ 长度: 75 (0x4b) 字节

    000000: 25 55 53 45 52 50 52 4F 46 49 4C 45 25 5C 4C 6F  |  %USERPROFILE%\Lo    000010: 63 61 6C 20 53 65 74 74 69 6E 67 73 5C 48 69 73  |  cal Settings\His    000020: 74 6F 72 79 5C 48 69 73 74 6F 72 79 2E 49 45 35  |  tory\History.IE5    000030: 5C 4D 53 48 69 73 74 30 31 32 30 30 37 30 33 32  |  \MSHist012007032    000040: 31 32 30 30 37 30 33 32 32 5C 00                |  120070322\.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007032120070322\CachePrefix
键值: 字符串: ":2007032120070322: "
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Extensible Cache\MSHist012007032120070322\CacheRepair
键值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IgfxTray
键值: 字符串: "C:\Program Files\Internet Explorer\IEXPL0RE.EXE"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\Description
键值: 字符串: "自动与 Internet 时间服务器同步。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\DisplayName
键值: 字符串: "WebTime"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\ErrorControl
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\ImagePath
键值: 类型: REG_EXPAND_SZ 长度: 47 (0x2f) 字节

    43 3A 5C 50 72 6F 67 72 61 6D 20 46 69 6C 65 73  |  C:\Program Files    5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72  |  \Internet Explor    65 72 5C 57 65 62 54 69 6D 65 2E 65 78 65 00    |  er\WebTime.exe.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\ObjectName
键值: 字符串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\Security\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\Security\Security
键值: 类型: REG_BINARY 长度: 184 (0xb8) 字节

    000000: 01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00  |  ...€............    000010: 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00  |  0............€..    000020: FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00  |  ................    000030: 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00  |  ..p.............    ...还有...

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\Start
键值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebTime\Type
键值: DWORD: 272 (0x110)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\Description
键值: 字符串: "自动与 Internet 时间服务器同步。"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\DisplayName
键值: 字符串: "WebTime"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\ErrorControl
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\ImagePath
键值: 类型: REG_EXPAND_SZ 长度: 47 (0x2f) 字节

    43 3A 5C 50 72 6F 67 72 61 6D 20 46 69 6C 65 73  |  C:\Program Files    5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F 72  |  \Internet Explor    65 72 5C 57 65 62 54 69 6D 65 2E 65 78 65 00    |  er\WebTime.exe.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\ObjectName
键值: 字符串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\Security\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\Security\Security
键值: 类型: REG_BINARY 长度: 184 (0xb8) 字节

    000000: 01 00 14 80 A0 00 00 00 AC 00 00 00 14 00 00 00  |  ...€............    000010: 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00  |  0............€..    000020: FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00  |  ................    000030: 02 00 70 00 04 00 00 00 00 00 18 00 FD 01 02 00  |  ..p.............    ...还有...

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\Start
键值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebTime\Type
键值: DWORD: 272 (0x110)
--------------
位置总数: 32




--------------------------------------------------------------------------------


文件列表位于 C:\WINNT\*.*


摘要信息:
已删除文件: 0
已修改文件: 0
新建文件 : 0





--------------------------------------------------------------------------------


文件列表位于 C:\WINNT\system32\*.*


摘要信息:
已删除文件: 1
已修改文件: 0
新建文件 : 1


已删除文件
perflib_perfdata_13c.dat 大小: 16,384，日期/时间: 2007年03月21日 19:51:46
--------------
位置总数: 1

新建文件
perflib_perfdata_374.dat 大小: 16,384，日期/时间: 2007年03月21日 19:53:26
--------------
位置总数: 1




--------------------------------------------------------------------------------


文件列表位于 C:\Documents and Settings\euser\My Documents\*.*


摘要信息:
已删除文件: 0
已修改文件: 1
新建文件 : 0


已修改文件
1.rsnp
旧: 大小: 7,160,800，日期/时间: 2007年02月03日 14:45:58
新: 大小: 7,226,384，日期/时间: 2007年03月21日 19:52:38

--------------
位置总数: 1




--------------------------------------------------------------------------------


文件列表位于 C:\Program Files\*.*


摘要信息:
已删除文件: 0
已修改文件: 0
新建文件 : 0

以上是运行病毒后的注册表快照，真的看不出来哪里的问题使IEXPL0RE.EXE为隐藏进程的，webtime服务并没有运行，照样进程是隐藏的，而且米有父进程来这里发帖的目的就是为了搞清这个问题哈，可以提供样本的，希望二楼的大虾不吝赐教、感激不已，谢谢了。

SSM劫持到的

2

3

之后就没有其他的了…………进程就运行了…………………………