病毒行为：

运行3.exe后：

1、文件改动:

C:\Program Files\Common Files\Microsoft Shared\MSINFO\下生成system.2dt以及NewInfo.bmp

2、注册表改动：

添加：

HKEY_CURRENT_USER\Software\Tencent\IeHook以及下面的键值First，值为kk

HKCR\CLSID\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}及其下属的项和键值，其中InProcServer32指向C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.bmp

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}

3、等了大约4分钟后开始利用被插入模块的explorer.exe下载下面的几个东西了：

http://www.senlove.com/0/mh.exe

http://www.senlove.com/0/wow.exe

http://www.senlove.com/0/wd.exe

http://www.senlove.com/0/qq.exe

http://www.senlove.com/0/dh.exe

http://www.senlove.com/0/zt.exe

4、这堆东西在系统弄了一堆东西：

文件改动：

生成：

windows目录：wincdb.exe、mppds.exe

system32目录：wincdb.dll、nwizAsktao.exe、nwizdh.exe、dh2103.dll、mppds.dll

C:\Program Files\Internet Explorer\PLUGINS目录：system32.jmp

C:\Program Files\Internet Explorer\PLUGINS目录：System64.sys

%tmp%目录：qq.exe

注册表改动：

添加：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的wincdb、mppds

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD060F1F}

HKCR\CLSID\{754FB7D8-B8FE-4810-B363-A788CD060F1F}

HKCU\Software\Tencent\Hooker

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5FF01121-F04D-30cf-64CD-74FF5FE1CF1C}

清理方法：

用任务管理器结束explorer.exe的进程树并关闭任务管理器，用icesword v1.20把上面的那些文件强行删除，然后把那些注册表项和键值都删除，重启，OK！

另：

病毒一直在监听远程IP：58.218.202.151，也就是www.senlove.com的IP地址，估计这个木马群有升级的能力！