[Ment69]

Почитай вот это
Worm.Win32.Ladex

При первом запуске червь создает три своих копии в системных каталогах:

%SystemRoot%\Help\DOSAPP.HLP
%SystemRoot%\Inf\CDROM.SYS
%SystemRoot%\Fonts\DOSOEM.FON
а также создает новые скрытые файлы, являющиеся компонентами червя:

%SystemRoot%\SMSS.EXE
%SystemRoot%\CSRSS.EXE
%SystemRoot%\System32\LADY.EXE
Затем он регистрирует файлы SMSS.EXE и CSRSS.EXE в системном реестре, чтобы обеспечить их запуск при перезагрузке системы:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
@="smss.exe"
@="csrss.exe"

I-Worm.Melare
При инсталляции червь копирует себя с именем "csrss.EXE" в системный каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SystemSARS32 = %WindowsDir%\csrss.EXE