Win32.Troj.MnlessT.zb.102224 手动专杀及 病毒资料

该文件是个后门程序。加载后首先解密预设的数据，根据解密出来的数据确定释放的文件名及路径，创建的服务名，描述信息等。然后在系统中创建服务，留下后门端口。

病毒行为：
1.将文件中释放的文件名及路径，创建的服务名，描述信息等数据解密，解密方式为简单异或。

2.释放文件X:\windows\system32\zomdvkev.dll
X:\WINDOWS\system32\drivers\zomdvkev.sys
文件时间属性设置与X:\windows\system32\svchost.exe一致以隐藏自身。

3.加载所释放的C:\WINDOWS\system32\zomdvkev.dll，利用这个dll来创建服务。首先检查系统中是否存在服务zomdvkev，存在则删除该服务重建，如不存在则创建服务zomdvkev。

4.创建注册表项
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\SvcHost，
“zomdvkev”=zomdvkev；
HKLM\SYSTEM\CurrentControlSet\Services\zomdvkev\Parameters，
"ServiceDll"=%SystemRoot%\SYSTEM32\zomdvkev.dll；
设置上述服务开启方式为开机启动；服务描述信息为Microsoft .NET Framework TPM；

创建注册表项
HKLM\SYSTEM\ControlSet001\Services\zomdvkev；
HKLM\SYSTEM\ControlSet002\Services\zomdvkev；
HKLM\SYSTEM\ControlSet003\Services\zomdvkev；
各子项值设置与HKLM\SYSTEM\CurrentControlSet\Services\zomdvkev相同；

5.启动服务zomdvkev，连接指定地址接受指令；