DownloadMX OnlineGames

一個下載者病毒，能從指定網站下載其它木馬

下載病毒檔案的列表：

病毒會先下載一個經過加密的檔案列表，http://www.*****.org/Data/a.txt，然後病毒會對檔案列表進行解密，並下載病毒檔案，解密後的下載木馬的路徑為http://isa.*****.coM/Images/Hide/m1.exE

病毒名為：Win32.Troj.OnlineGames.tc.98351

DownloadMX病毒會把OnlineGames病毒下載到用戶機器上，路徑為%windows%\dllcache\svchost.exe

並運行。

這個是另一個下載者，因為本身是下載者的緣故，中毒後，會在電腦上發現更多的木馬。變種非常多，現象並不完全一致。

通過分析Sreng日誌，發現以下特點，首先系統目錄下存在以下檔案：

\system32\sqmapi32.dll

\system32\qdshm.dll

\system32\mseam.sys

\system32\mssock.sys

多個日誌發現winsock被修改為sqmapi32.dll或qdshm.dll，這些檔案可能只有一兩個不存在。 由於部分求助中發現個別的安全模式被破壞，可以使用AV終結者專殺或者清理專家來修復。安裝清理清理專家，為避免被劫持，先將KASMain.exe改成任意名字，運行後會自動升級。

重新啟動按F8選擇進入安全模式，運行清理專家，依次點擊百寶箱，檔案粉碎器，將以下4個檔案找到，添加到徹底刪除的檔案列表中，再點擊徹底刪除。然後，立即重啟電腦。

\system32\sqmapi32.dll

\system32\qdshm.dll

\system32\mseam.sys

\system32\mssock.sys

因為病毒同時修改了winsock，刪除病毒檔案後，會導致不能上網。用金山清理專家，這個問題，很容易搞定。只需要再啟動清理專家，百寶箱，LSP修復工具，將LSP修復為系統預設值即可。

重啟系統，看看毒霸有沒有繼續報病毒。

另外，可以參考手工防毒的幾招：