收到你发来的样本mswdm.exe。卡巴斯基报：Trojan-Downloader.Small.czl。


1、mswdm.exe运行后，SSM观察到的表现：
（1）反复修改services.exe内存，控制services.exe。
（2）SSM及IceSword进程列表中均见不到木马进程mswdm.exe。
（3）添加启动项：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run           
CheckFaultKernel（指向c:\windows\system32\mswdm.exe）。
（4）注册表其它改动：
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders分支，
将："Cache"="C:\\Documents and Settings\\当前用户名\\Local Settings\\Temporary Internet Files"
改为："Cache"="C:\\Documents and Settings\\Local Services\\Local Settings\\Temporary Internet Files"
将"Cookies"="C:\\Documents and Settings\\当前用户名\\Cookies"
改为："Cookies"="C:\\Documents and Settings\\Local Services\\Cookies"
将"History"="C:\\Documents and Settings\\当前用户名\\Local Settings\\History"
改为："History"="C:\\Documents and Settings\\Local Services\\Local Settings\\History"

2、常用日志工具所见：
（1）SREng日志：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<CheckFaultKernel><C:\windows\system32\mswdm.exe>  []

（2）autoruns日志：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run           
CheckFaultKernel        c:\windows\system32\mswdm.exe   

（3）HijackThis日志：
无异常发现。

3、查杀流程：
（1）、删除木马启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run           
CheckFaultKernel。
（2）、删除木马文件：c:\windows\system32\mswdm.exe
（3）、改正注册表中其它被木马篡改的内容。
如此处理后，重启系统，系统及其它应用软件无异常。