病毒标签: 病毒名称:Backdoor.Win32.IRCBot.azi 病毒类型:蠕虫 危害级别:2 感染平台:Windows 病毒大小:65,536 字节 MD5 :80F764E2BE5B267390AF81A1AF7122ED 加壳类型:EXECryptor 2.2/2.3 (protected IAT) -> www.strongbit.com
Image063.zip (内含Image063.JPG_www.freehosting.com) 大小: 65,698 字节 检测名: Backdoor.Win32.IRCBot.azi(avp)
行为简介:
(1) 释放以下文件: %systemroot%\system32\msnlive.exe(只读, 系统,隐藏属性)
(2) 添加注册表键值: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Windows Live Service" = "msnlive.exe"
************************************************************************************** 日志表现:
启动项目 注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <Windows Live Service><msnlive.exe> []
================================== 正在运行的进程 [PID: 480 / Administrator][C:\WINDOWS\system32\msnlive.exe] [N/A, ]
================================== 进程特权扫描 特殊特权被允许: SeLoadDriverPrivilege [PID = 480, C:\WINDOWS\SYSTEM32\MSNLIVE.EXE] ==================================
【解决方案】:
终止进程msnlive.exe(ctrl+alt+del组合键调用任务管理器)
1.建议使用费尔木马强力清除助手(可到down.45its.com下载)删除以下文件 使用说明:复制以下待删除文件文件列表,打开PowerRmv.exe,粘贴--清除,并抑制--开始--弹出创建举报邮件选否--最后选是。
c:\windows\system32\msnlive.exe
2.然后使用SREng(可到down.45its.com下载)修复下面各项:
启动项目 -- 注册表之如下项删除: [Windows Live Service] <msnlive.exe>
|