主要行为：1、释放文件：C:\Windows\System32\datmps.dll 21,984 byteC:\Windows\System32\wlite.sys 8,816 bytes2、添加启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\datmps]DllName = 64 61 74 6D 70 73 2E 64 ...

大家在使用Windows操作系统的时候，可能会经常在C盘根目录发现一些后缀名为TMP的文件，还会在Windows目录里发现一个TEMP的目录。一些刚接触电脑的用户可能会觉得莫明其妙，这是什么东西来的，我没建立过这样的文件啊! 其实，这是Windows产生的临时文件，本质上和虚拟内存没什么两样，只不过临时文件比虚拟内存更具有针对性，单独为某个程序服务而已。还有，如果您是使用WORD编辑文档，也会在WORD的安装目录里发现一批～开头的，TMP结尾的文件，这是WORD产生的临时文件，但如果你的WORD还没关闭，想删除它们，却可能会发现怎么都删除不了，系统反复提示读写保护，这又如何是好呢？下...

下载FileMonNT软件,用来做文件操作监视.将监视目标指向TEMP目录,对Create进行监视,以查找是哪个文件生成了这批TMP病毒,最后终于发现生成他们的程序文件居然是:DWHwizrd.exe,这个程序文件是诺顿的升级向导!!!无语中....难怪今天偶删除了诺顿,再次重装时却发现状态一直是等待更新,页LiveUpdate却提示所有产品是最新的,郁闷.分析一下事情经过:1.偶设置诺顿为每天凌晨5点左右自动更新2.LiveUpdate按规定下载了更新文件,并生成临时文件DWH*.TMP将文件存放于临时目录.3.实时监控程序RtvScan.exe却直接将LiveUpdate生成的DWH*.T...