baohe - 2008-10-1 22:23:00
病毒样本来自绅博。文件大小:87K;MD5值:04a58deb1f8cd39507b0ea76078994b1。瑞星20.64.10不报毒。
Rserver.exe运行后,在%system%目录下释放winnet.dll和winnet.dll.uns两个病毒文件。winnet.dll插入3个svchost进程。若一一卸除svchost进程中的winnet.dll,系统会冻住或崩溃。
SRENG日志可见病毒服务项:
[Install Bits Tool / Winet][Running/Auto Start]
<C:\windows\System32\svchost.exe -k netsvcs-->C:\windows\system32\winnet.dll><N/A>
手工杀毒流程:
1、用IceSword强制删除%system%目录下的winnet.dll和winnet.dll.uns。
2、重启。
3、按下图清理注册表
注:瑞星主动防御不能阻止winnet.dll插入svchost进程,尽管我事先按下图设置好了瑞星的“应用程序保护规则”。
用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)
Rserver.exe运行后,在%system%目录下释放winnet.dll和winnet.dll.uns两个病毒文件。winnet.dll插入3个svchost进程。若一一卸除svchost进程中的winnet.dll,系统会冻住或崩溃。
SRENG日志可见病毒服务项:
[Install Bits Tool / Winet][Running/Auto Start]
<C:\windows\System32\svchost.exe -k netsvcs-->C:\windows\system32\winnet.dll><N/A>
手工杀毒流程:
1、用IceSword强制删除%system%目录下的winnet.dll和winnet.dll.uns。
2、重启。
3、按下图清理注册表
注:瑞星主动防御不能阻止winnet.dll插入svchost进程,尽管我事先按下图设置好了瑞星的“应用程序保护规则”。
用户系统信息:Opera/9.52 (Windows NT 5.1; U; zh-cn)