Trojan-Downloader.Win32.VB.akf

Trojan-Downloader.Win32.VB.akf

木馬類

AE78400B48475717CC681326691C0248

完全公開

中等

8,192 位元組

windows98以上版本

Microsoft Visual Basic 5.0 / 6.0

UPX 0.89.6 - 1.02

%windir%\kb235780m.log

%system32%\0.exe

%system32%\2.exe　Trojan-PSW.Wn32,Lmir.azv

%system32%\mswdm.exe

%system32%\winsvc.exe　 Trojan-Downloader.Win32.VB.akf

HKEY_CURRENT_USER\Software\WinRAR SFX

\C%%Program Files%WindowsMe

鍵值: 字元串: "C:\Program Files\WindowsMe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\policies\Explorer\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\policies\Explorer\Run\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\policies\Explorer\Run\KernelFaultCheck

鍵值: 字元串: "C:\WINNT\system32\mswdm.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run\WinSvc

鍵值: 字元串: "C:\WINNT\system32\WinSvc.exe"

註：% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。

--------------------------------------------------------------------------------

1、使用安天木馬防線可徹底清除此病毒(推薦)。

2、手工清除請按照行為分析刪除對應檔案，恢復相關係統設定。

(1) 使用安天木馬防線“進程管理”關閉病毒進程

(2) 刪除病毒檔案

%windir%\kb235780m.log

%system32%\0.exe

%system32%\2.exe

%system32%\mswdm.exe

%system32%\winsvc.exe

(3) 恢復病毒修改的註冊表項目，刪除病毒添加的註冊表項

HKEY_CURRENT_USER\Software\WinRAR SFX

\C%%Program Files%WindowsMe

鍵值: 字元串: "C:\Program Files\WindowsMe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\policies\Explorer\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\policies\Explorer\Run\

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\policies\Explorer\Run\KernelFaultCheck

鍵值: 字元串: "C:\WINNT\system32\mswdm.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

\CurrentVersion\Run\WinSvc

鍵值: 字元串: "C:\WINNT\system32\WinSvc.exe"