process monitor监控setup.exe

设置进程过滤

setup.exe主要做了两件事：1、创建了一个spocslv.exe，2、删除c盘（测试环境只有c盘）和admin的共享

行为1：setup.exe创建了spoclsv.exe这样一个程序
行为2：删除了c盘和admin用户文件夹的默认共享

行为3：删除了安全类软件的自启动项

行为4：在run键下创建了一个svcshare的自启动项，每次开机时病毒自动运行
行为5：在注册表下修改hidden\showall和hidden\showall\checkvalue两个键达到在文件管理器中即使查看隐藏文件夹也无法显现病毒

行为6：将自身拷贝c盘根目录下命名为setup.exe，并且创建autorun.inf用于病毒的启动
行为7：在某些文件夹中创建Desktop_.ini这样的文件

行为8：向内网外网”47.74.46.59”和”218.205.113.169”发送数据，并连接局域网中的其他电脑