Storm_Center

　　代码：X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*　　上面这段代码相信常访问IT网站或社区的网友们并不陌生，而且往往被灌上神秘的色彩，将这段代码复制到Google的搜索框，敲回车，有41000个网页收录了这样的信息，其中首当其冲的就是太平洋和中关村，然后太平洋的出处表明是网易，作者是佚名；然后中关村的出处又是hacker.cn，又不清楚这个网易和hacker.cn的出处又是哪里了？？这个和很多假新闻类似。……

[Symantec Eraser Control driver / eeCtrl]
  <\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys><Symantec Corporation>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>

Cmicnfg.cpl是C-Media程序文件﹑声卡驱动文件。

[HOSTNT / HOSTNT][Stopped/Auto Start]
       <\??\C:\WINDOWS\system32\hostnt.sys>
 

[AntiyNF / AntiyNF][Running/Auto Start]
    <system32\drivers\AntiyNF.sys><N/A>

[XPROTECTOR / XPROTECTOR][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Xprotector.sys><N/A>

网上该文件的相关信息：

一、老外的XPROTEXTOR加壳保护的软件。
这个和DBPE保护层次上差不多，但狠毒劲则比DBPE过之。
总体上来说：
1、XPRO与DBPE一样，都是利用驱动程序来在WINNT系统上获得R0级权限。
...

　　瑞星的卡卡助手6.0的文件，插入注册表的AppInit_Dlls，而不是以前版本的ieprot.dll。有的杀毒软件或安全工具会对kmon.dll报警，因为AppInit_Dlls是注册表敏感位置，默认值为空，很多病毒会在此处加入自己的文件、用于启动，但卡巴斯基、卡卡等安全程序也会在此处插入自己的文件。

服务
[WDelMgr20 / WDelMgr20][Stopped/Auto Start]
 <C:\WINDOWS\system32\drivers\WDelMgr20.exe><N/A>

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\uklognf]
    <WinlogonNotify: uklognf><uklognf.dll>