100410-tr05 (1).cmd的手工处理流程
此毒RIS2010目前不杀。
中此毒后,SRENG日志可见如下异常:
启动项目
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{42C50607-D944-41A9-9B67-720AFBE8C22C}><C:\windows\Debug\xmlDown.dll> []
==================================
正在运行的进程
[PID: 2364][C:\windows\Explorer.EXE] [(Verified) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[C:\windows\Debug\xmlDown.dll] [N/A, ]
[PID: 2988][C:\Program Files\Tiny Firewall Pro\amon.exe] [Computer Associates International, Inc., 6.5.3.2]
[C:\windows\Debug\xmlDown.dll] [N/A, ]
[PID: 2828][C:\Documents and Settings\Administrator\桌面\SREf0465bfe.EXE] [Smallfrogs Studio, 2.8.2.1321]
[C:\windows\Debug\xmlDown.dll] [N/A, ]
使用IceSword的杀毒流程:
1、禁止进程创建。
2、强制卸除插入上述进程的病毒模块xmlDown.dll。
3、删除下列病毒文件:
4、删除病毒添加的启动项:
5、取消IceSword的”禁止进程创建“。
用户系统信息:Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10
