1.hiv,avpnoackdf.exe,fengzi,rsdbdt.sys,winecest,winscksow.dll,yu.txt疯子下载器106496，Win32.Troj.DownLoader.wd.106496是一个木马下载器。它具有对抗安全软件的功能，会破坏一些安全软件的运行，然后下载其它病毒文件到用户电脑中运行。

主程序：
一：程序运行后首先会判断系统是否已经感染病毒，若存在的话，就调用删除掉病毒文件。
若存在avp.exe，若存在的话则修改系统的时间到2000年，然后等待20000ms使avp.exe失效。没有卡巴就跳过继续，

二：病毒将自身的资源区中的"DLLFILE"部分释放到"C:\WINDOWS\system32\winscksow.dll".

三：在系统temp文件夹下生成随机数字后缀的"winscksow0.dll"内容与winscksow.dll一样。

四：将释放出的dll文件注入到explorer中 然后删除病毒原文件。

winscksow.dll/winscksow0.dll：
功能为
一：获取宿主主机名，例如这里机器名为"708DB02B66AE4F9",再获取本机IP，例如IP为"127.0.0.1"，然后将获取的字符串拼接为 "http://m**p.lovemmll.cn/yu.asp?u=708DB02B66AE4F9&p=127.0.0.1"的形式，然后连接这个地址读取信息。

二：下载一个病毒"C:\WINDOWS\system32\drivers\avpnoackdf.exe"，

三：释放一个病毒的驱动"C:\WINDOWS\system32\drivers\rsdbdt.sys"，
然后运行2000ms，删除掉rsdbdt.sys和avpnoackdf.exe。

四：枚举进程，查找并关闭大量的安全软件：
'360tray.exe''avp.exe','KVwsc.exe','KVMonXP.EXE','Kvsrvxp.EXE','kwatch.EXE','kavstart.EXE','KPfw32.exe','kavpfw.exe','runiep.exe','ravmon.exe','Ravmond.exe','ravtask.exe','ccenter.exe','rfwmain.exe','rfwsrv.exe','rfwcfg.exe','PFW.exe','KVMonXP.kxp','Navapsvc.exe','Mcshield.exe','shstat.exe','Vstskmgr.exe','ccapp.exe','vptray.exe''rtvscan.exe''kvfwmcl.exe''AvastU3.exe''avconsol.exe''AvMonitor.exe''FYFireWall.exe'
其中，对avp.exe是采用修改系统时间的到2000年的方式。

五："http://m**p.lovemmll.cn/yu.txt"，连接这个地址，读去数据，再按照获取的数据下载病毒"winecest.exe"，并添加数字前缀，第一次为"0winecest.exe"，第二次时为"1winecest.exe"，依次类推，循环"?winecest.exe"，然后尝试打开下载下来的文件，如果打开不成功，则返回继续下载，直到下载成功为止。

设置了一个的计时器，每10000ms执行一次下列事件：
在SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks项中添加子项9EEF7056-B89D-9DE8-A060-D585EA746799完成自启动：{9EEF7056-B89D-9DE8-A060-D585EA746799}---子项InProcServer32---子项的键ThreadingModel，键值为Apartment。
然后保存SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks到c:\\1.hiv之中，再在注册表中建立一个Software\\fengzi项，把c:\\1.hiv中的内容恢复到fengzi项之中，循环恢复5次。然后在fengzi项下建立一个9EEF7056-B89D-9DE8-A060-D585EA746799子项，并将这个子项保存到c:\\2.hiv中，再把这个c:\\2.hiv的注册表内容恢复到SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\shellExecuteHooks中，循环恢复5次，恢复完之后删除掉Software\\fengzi项，c:\\1.hiv，c:\\2.hiv。

rsdbdt.sys：
这个是DLL文件释放出的驱动，用来恢复SSDT过杀毒软件