今天拿到的样本，名为www.Crsky.com.exe。
瑞星、卡巴斯基今天的病毒库均不报毒。
www.Crsky.com.exe运行后，释放NTdHcP.exe到system32文件夹中。添加注册表启动项两个：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。
启动项指向system32下的NTdHcP.exe。
NTdHcP.exe禁止下列安全软件的服务加载：
navapsvc（诺顿）
kavsvc（卡巴斯基）
KVSrvXP（江民）
KVWSC（江民）
KPfwSvc（金山毒霸）
KWatchSvc（金山毒霸）
SNDSrvc（诺顿）
ccProxy（诺顿）
ccEvtMgr（诺顿）
ccSetMgr（诺顿）
SPBBCSvc（诺顿）
Symantec Core LC（诺顿）
NPFMntor（诺顿）
MskService（麦咖啡）
FireSvc（BitGuard）
McShield（麦咖啡）
McTaskManager（麦咖啡）
McAfeeFramework（麦咖啡）
RfwService（瑞星防火墙）
RavMon（瑞星监控）

【建议】备份一下自己杀软的注册表加载项吧。就那么几个键。

引用:

【绿色精灵的贴子】【建议】备份一下自己杀软的注册表加载项吧。就那么几个键。 <==哪些是杀软的注册表加载项，不认识啊 ………………

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

瑞星杀软的，就这几个键。导出备份即可。

瑞星防火墙的——我没装，不清楚。自己在注册表中搜一下（Rfw或RfwService）。

引用:

【jordy1983的贴子】猫叔你是怎么成为高手的？ ………………

高手？我不是。
在这里熏陶了3年了。应该能处理一些小问题了。