基本介紹
- 中文名:PE.PSWLmir.tc
- 威脅級別::★
- 影響系統::Win9x / WinNT
- 病毒類型::未知
病毒信息,病毒行為,實時監視,密碼防盜,
病毒信息
病毒別名:
處理時間:
威脅級別:★
中文名稱:地獄使者
病毒類型:未知
影響系統:Win9x / WinNT
病毒行為
這是一個木馬病毒,該病毒通過監視傳奇客戶端,記錄用戶的帳戶和密碼,通過郵件把記錄的信息傳送出去.該病毒會修改檔案關聯,使用戶的損失加大.
1.生成以下檔案:
%system%\logonuit.exe
%system%\windows.exe
%system%\winl0gon.exe
2.修改註冊表,使病毒開機運行:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
Shell
Explorer.exe
Explorer.exe C:\WINNT\System32\windows.exe
3.修改txt檔案關聯:
HKLM\SOFTWARE\Classes\txtfile\shell\open\command
@中的串值改為
C:\WINNT\System32\winl0gon.exe %1
HKCR\SOFTWARE\Classes\txtfile\shell\open\command
@中的串值改為
C:\WINNT\System32\winl0gon.exe %1
4.增加註冊表項:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Runonece
windows update
%System%\logonuit.exe
5.修改註冊表:
HKLM\SYSTEM\ControlSet\Services\kmixer\Enum\Count
舊值: DWORD: 0 (0) 新值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\Services\kmixer\Enum\NextInstance
舊值: DWORD: 0 (0) 新值 : DWORD: 1 (0x1)
6.關閉以下程式:
Symantec AntiVirus 企業版
KV2004
實時監視
RavMon.exe
RavMonClass
ZoneAlarm
ZAFrameWnd
天網防火牆個人版
天網防火牆企業版
密碼防盜
綠鷹PC
