Windows的任务栏在注册表中的位置是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop下的“TaskbarWinXP”,其值是一大堆二进制数据(REG_BINARY),正常值我就不抄了,到网上去找就有。当我们右击任务栏,在弹出的菜单中选择“工具栏”-Windows Media Player后(作用是当media player最小化后在任务栏显示媒体播放器的工具条),在explorer.exe进程中就会插入一个模块:C:\Program Files\Windows Media Player\wmpband.dll(这台举例电脑上装的是WMP10,所以wmpband.dll的版本也是10.0.0.3802。
这也许是插入explorer.exe进程的一个方法,否则在前文(《开机弹出http://go.dhsite.info/tan.php》)中就不可能看到一个mediaplayer.dll插入explorer.exe进程,至于这个mediaplayer.dll是否有问题,或者是利用wmp,我就不知道了,但根据网上搜索的信息,这个恶意程序确实是动了HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop下的“TaskbarWinXP”。(参考来源:http://bbs.janmeng.com/thread-950754-1-1.html)
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/873.html
