Image063.zip （内含Image063.JPG_www.freehosting.com）
       大小: 65,698 字节
       检测名:   Backdoor.Win32.IRCBot.azi（avp）

       行为简介:

       （1） 释放以下文件：
       %systemroot%\system32\msnlive.exe（只读， 系统，隐藏属性）

       （2） 添加注册表键值：
       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Windows Live Service" = "msnlive.exe"

       **************************************************************************************
       日志表现：

       启动项目
       注册表
       [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Windows Live Service><msnlive.exe>   []

       ==================================
       正在运行的进程
       [PID: 480 / Administrator][C:\WINDOWS\system32\msnlive.exe]   [N/A, ]

       ==================================
       进程特权扫描
       特殊特权被允许： SeLoadDriverPrivilege [PID = 480, C:\WINDOWS\SYSTEM32\MSNLIVE.EXE]
==================================

       【解决方案】：

       终止进程msnlive.exe（ctrl+alt+del组合键调用任务管理器）

       1.建议使用费尔木马强力清除助手（可到down.45it.com下载）删除以下文件
使用说明：复制以下待删除文件文件列表,打开PowerRmv.exe，粘贴--清除,并抑制--开始--弹出创建举报邮件选否--最后选是。

       c:\windows\system32\msnlive.exe

       2.然后使用SREng（可到down.45it.com下载）修复下面各项：

       启动项目 －－ 注册表之如下项删除：
       [Windows Live Service] <msnlive.exe>