Trojan-PSW.Win32.OnLineGames.ejq

該病毒由其他下載者病毒下載,或者通過網頁傳播等途·徑進行感染,注入進程,掛鈎滑鼠,鍵盤,系統信息等截取征途遊戲·的敏感信息。

基本介紹

  • 外文名:Trojan-PSW.Win32.OnLineGames.ejq
  • 別名:Trojan-PSW.Win32.OnLineGames.ejq/zt.exe、G-AVR[Greysign]
  • 詞語分類:計算機用語
  • 病毒類型:木馬
  • 危害等級:B
  • 檔案長度:15.0 KB (15,366位元組)
  • 加殼類型:Upack 0.3.9 beta2s殼
  • 檔案 MD5:335edd56075b8d473ffd6f25e8f6c366
  • 公開範圍:完全公開
  • 危害.等級: B
命名對照,行為分析,

命名對照

江民防毒 TrojanSpy.Delf.aud
瑞星Trojan.PSW.Win32.ZhengTu.yku
金山毒霸 Win32.Troj.OnlineGames.yi.81920
a-squared Trojan-PSW.Win32.OnLineGames.ejq
AntiVir TR/PSW.OnlineGames.ejq

行為分析

修改註冊表:
增加啟動項目
HKEY_LOCAL_MACHINE\SOF.TWARE\Microsoft\Windows\CurrentVersion\
Explorer\ShellExecuteHooks ""
Type: REG_SZ
Data: rsztcpm.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Windows "AppInit_DLLs"
Old type: REG_SZ
New type: REG_SZ
Old data:
New data: rsztcpm.dll
關閉系統自動升級
HKEY_LOCAL_MACHINE\SOF.TWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU "AUOptions"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU "NoAutoUpdate"
Type: REG_DWORD
Data: 01, 00, 00, 00
關閉WINDOWS防火牆
HKEY_LOCAL_MACHINE\SYSTEM\.ControlSet001\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
Type: REG_DWORD
Data: 00, 00, 00, 00
釋放檔案:
c:\WINDOWS\Fonts\gezeand.fon
Date: 10-16-20.07 6:44 PM
Size: 93 bytes
c:\WINDOWS\system32\rsztafg.dll
Date: 10-16-2007 6:44 PM
Size: 53 bytes
c:\WINDOWS\system32\rsztcpm.dll
Date: 8-4-2004 6:44 PM
Size: 23,122 bytes
c:\WINDOWS\system32\rsztcsp.exe
Date: 10-16-2007 6:42 PM
Size: 15,366 bytes
解決方案:
c:\WINDOWS\Fonts.\gezeand.fon
c:\WINDOWS\system32\rsztafg.dll
c:\WINDOWS\system32\rsztcpm.dll
c:\WINDOWS\system32\rsztcsp.exe
—刪除註冊表—
HKEY_LOCAL_MACHINE\SY.STEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{rsztcpm.dll} []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
{logonui.exe} [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
{}{C:\WINDOWS\system32\rsztcpm.dll} []

相關詞條

熱門詞條

聯絡我們