1、此受感染程序不具备感染其它程序的能力。程序运行后，系统正常的资源管理器explorer.exe被改名为loader.exe，并存放到当前用户临时文件夹中。原windows目录及dllcache目录下的explorer.exe被病毒替换。除此之外，被病毒感染过的Slp3.exe运行后再无其它动作。下图是系统正常程序explorer.exe的MD5：







2、原windows目录及dllcache目录下的explorer.exe被病毒替换了。比较这三个程序的MD5即可判明：





3、开始用IceSword进行手工杀毒。先禁止进程创建：





4、结束explorer.exe进程：





5、删除dllcache目录下的explorer.exe：





6、删除windows目录下的explorer.exe：





7、将当前用户临时目录下的loader.exe拷贝到windows目录下：





8、拷贝loader.exe到windows目录时，文件名取为explorer.exe：





9、取消IceSword的“禁止进程创建”：




10、按CTRL_ALT_DEL三键，调出任务管理器。重新开启explorer.exe进程。





用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.10

1、用Tiny追踪回滚模式监测病毒行为。
2、我的XP系统，不用其它工具，右键查看文件“属性”，即刻看到其MD5 。（不用工具的话，并非所有文件都能看到MD5。）