采购利润杠杆效应:IE删除专家为什么安装失败

winmon.exe的介绍
BackDoor.RBot.aaa
破坏方法：RBot变种。

集黑客，蠕虫，后门功能于一体。通过局域网共享目录和利用系统漏洞进行传播。
体内带有弱口令字典，用户如不注意设定密码则系统很容易被攻破。
写了注册表启动项，每次开机病毒都能启动。
运行后连接特定IRC服务器的特定频道，接受黑客控制，发送本地信息。
接收黑客发来的命令在本地执行。并将执行结果发回IRC聊天频道。
病毒会扫描网段内的机器并猜测共享密码，会占用大量网络带宽资源，容易造成局域网阻塞。
一、IRC（Internet Relay Chat）连接。
试图通过"***ccc.oxyww.com" 的TCP 34601 端口建立通讯。
二、文件和注册表
1. 复制自己到系统目录，命名为“system.exe”。
2. 在下列键添加启动项“Login”使病毒随Windows的启动而自动运行。每隔一分钟进行一次修改。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion
\RunServices
3. 修改系统设置。每隔两分钟进行一次修改。
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM = N
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
\restrictanonymous = 0x1
三、监听本地113端口，建立通讯后，接收远程控制命令。可以进行下列控制操作。
1. 偷用户正版游戏的序列号。
Command & Conquer Generals 、
FIFA 2003 、NFSHP2 、SOF2 、
Soldier of Fortune II - Double Helix
Battlefield 1942
Project IGI 2 、Unreal Tournament 2003
Half-Life
2. 猜测局域网内其他机器的ipc连接密码。一旦成功连接，把病毒复制过去，并运行起来，进行新的破坏。病毒带有一个密码字典，包含一百多个数字、字母、词汇的简单组合。
3. 记录键盘输入。通过这种方式可以获得用户的各种密码（Windows登陆、邮箱、论坛、游戏、网络支付等等）。
4. 发动SYN 攻击，造成指定机器拒绝服务。
5. 下载文件并运行。往往用作传递新的远程控制程序，进行直接控制。
6. 终止系统的进程和线程。
四、病毒频繁的扫描内存进程，终止并禁止反病毒软件的运行。
五、病毒可以建立一个HTTP、FTP服务器，进行文件上传、下载和运行操作。
六、病毒使用的字典如下，建议用户一定使用复杂的密码。

1234567890
123456789
12345678
1234567
123456
12345
pass1234
passwd
password
password1
oracle
database
default
guest
wwwadmin
teacher
student

试试 下载个 6.5版本的IE覆盖上去 7.0的是测试的不稳定

再就是重装系统 比杀毒简单的多

IE病毒很麻烦