机器狗变种是否已穿透注册表？？

最新发现，机器狗变种通过某种方式，可能已经操作注册表了．以下是一台被穿透的电脑启动项情况：

[pp=single_ubb,562,367,1e04d60q6eb8]sid=134501&surl=http://bbs.54master.com/&url=http://p.qihoo.com/pic/1e04d60q6eb8&rurl=http://yp.qihoo.com/pic/1402010qb18f.jpg&rurl_w=562&rurl_h=367[/pp]


从图中可以看出，启动项添加了ntuser.dat,ntuser.dat.log.ntuser.pol，以及TempWmicBatchFile.bat等项目．

另外，任务管理器，３６０安全卫士无法运行．

通过查注册表得知，以下注册表项被修改而导致以上程序无法运行：

CODE:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
"Debugger"="ntsd -d"后重启计算机，断网，过系统后，修改注册表，使任务管理器（taskmgr.exe）可以运行．查看到dxdiag.exe程序在运行．查系统文件确无此文件．重启，进dos，确定dxdiag.exe文件存在．删除后，再次进入windows桌面．任务管理器，３６０等程序，可以运行．再次查看注册表，以上被修改的选项显示正常．但启动项依然有ntuser.dat等四个启动项目，并且无法去掉．

结论：dxdiag.exe文件明显被改动后在启动成功后自删除，而该进程就是修改了注册表相关项，达到禁止某些杀毒软件和特殊进程运行的目的．但是，为什么，启动项目里，多了四个选项？？

[本帖最后由 天涯风云 于 2008-6-30 20:51 编辑]