800 988 7973:res.ese进程可能是病毒?好心人请进

进程文件： res 或 res.exe
进程位置： 系统
程序名称： Downloader.win32.Sma
程序用途： 木马病毒
程序作者：
系统进程： 否
后台程序： 是
使用网络： 是
硬件相关： 否
安全等级： 低
进程分析： 该病毒修改注册表实现自启动，用于下载其他病毒或更改主页为9991.com等，并可能造成计算机关机缓慢，甚至无法正常关机

1. 到C:\Program Files\Common Files\Microsoft Shared\MSInfo下把 xiaran 开头的文件删除（xiaran.vxd删不掉）

2. 开始 -- 运行 -- regedit，打开注册表编辑器，搜索 xiaran.vxd，搜到一条注册表，删除。

3. 重启, 把xiaran.vxd删除。

4. 删除这些启动项:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

5. 用dl_srvany工具删除这个服务:

[QQFace / Universal Disk Manager]

6. 删除这些浏览器加载项:

[Router Layer]
{5EB7CB50-E375-4718-B4C0-9AD12EFA2F84}

7. 重启到安全模式后删除:

C:\WINDOWS\system32\res.exe
C:\WINDOWS\system32\up.dll
C:\WINDOWS\system32\Update.exe
C:\WINDOWS\System32\aclayer.dll
C:\WINDOWS\System32\aclayer.exe
目录:
C:\Program Files\Common Files\SAND\

可能采取的步骤有所不同，以上是最全的，我只在安全模式下 。删除了 C:\WINDOWS\system32\res.exe
C:\WINDOWS\system32\up.dll 就OK了。

删除后这个东西有马上会出现 。如果你很介意的话，就装一个spybot,后台控制里面 选 Teatimer. 任何东西想修改你的注册表都要经过你的允许了。

转自http://72.36.241.133/viewthread.php?tid=54777

这个是xiaran.vxd病毒的文件

1. 到C:\Program Files\Common Files\Microsoft Shared\MSInfo下把 xiaran 开头的文件删除（xiaran.vxd删不掉）

2. 开始 -- 运行 -- regedit，打开注册表编辑器，搜索 xiaran.vxd，搜到一条注册表，删除。

3. 重启, 把xiaran.vxd删除。

4. 删除这些启动项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<res><C:\WINDOWS\system32\res.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Update><C:\WINDOWS\system32\Update.exe>

5. 用dl_srvany工具删除这个服务:
[QQFace / Universal Disk Manager]
<C:\Program Files\Common Files\SAND\qqfacerclient.exe><COMENET TECHNOLOGY>

6. 删除这些浏览器加载项:
[Router Layer]
{5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} <C:\WINDOWS\System32\aclayer.dll, Microsoft Corporation>

7. 重启到安全模式后删除:
C:\WINDOWS\system32\res.exe
C:\WINDOWS\system32\up.dll
C:\WINDOWS\system32\Update.exe
C:\WINDOWS\System32\aclayer.dll
C:\WINDOWS\System32\aclayer.exe
目录:
C:\Program Files\Common Files\SAND\