Trojan.PSW.Win32.XYOnline.jq是盜號木馬程式檔案。
基本介紹
- 外文名:Trojan.PSW.Win32.XYOnline.jq
- 檔案大小:12767 bytes
- 檔案名稱稱:kvdxcis.exe
- 病毒類型:盜號木馬
病毒信息,病毒行為,
病毒信息
kvdxcis.exe kvdxcma.dll(Trojan.PSW.Win32.XYOnline.jq)解決方法
kvdxcis.exe kvdxcma.dll(Trojan.PSW.Win32.XYOnline.jq)解決方法
檔案名稱稱:kvdxcis.exe
檔案大小:12767 bytes
AV命名:Trojan-PSW.Win32.OnLineGames.dpb(卡吧斯基)
加殼方式:Upack 0.3.9 beta2s
編寫語言:E語言+Delphi(Dll)
病毒類型:盜號木馬
檔案MD5:9d687622a2b01661372c94780fc8db23
病毒行為
1、釋放病毒副本:
C:\Windows\Fonts\a.rdaase.fon 91 位元組
C:\Windows\system32\kvdxacf.dll 52 位元組
C:\Windows\system32\kvdxcis.exe 12767 位元組
C:\Windows\system32\kvdxcma.dll 20048 位元組
2、釋放P處理,刪除verclsid.exe
3、修改2處註冊表關鍵項,開機自啟:
AppInit_DLLs和ShellExecuteHooks。
4、修改註冊表,禁用系統防火牆和自動更新功能。
鍵值為NoAutoUpdate與EnableFirewall。
5、kvdxcma.dll 安裝全局鉤子(Hook),注入所有運行中的進程。
掛鈎類型:WH_KEYBOARD、WH_MOUSE、WH_GETMESSAGE。
6、檢測網遊大話西遊進程,由第5點的Hook技術獲取其輸入的帳號和密碼。
應該是保存至C:\Program Files\NetMeeting\*.cfg。並.傳送外部。
7、嘗試關閉名為TQAT.exe的進程。
????
8、由kvdxcma.dll監控自身的註冊表項,每幾毫秒檢測一次,如不再,則重寫。
(這點比較狠毒,因為它注入除系統核心外.的所有進程,所以很麻煩。基本上一刪除就又有了)。
解決方案:
因為自己沒有測試刪除方法,給2套了,如果不能刪除掉的話,麻煩跟個貼。。
方法一:
1、http://free.ys168.com/?gudugengkekao1下載:
sreng2.5.zip 780KB
PowerRmv.com 101KB
2、斷開網路,關閉不需要的進程。
3、打開PowerEmv,選上“抑制對象再次生成”,填入:
C:\Windows\Fonts\ardaase.fon
C:\Windows\system32\kvdxacf.dll
C:\Windows\system32\kvdxcis.exe
C:\Windows\system32\kvdxcma.dll
4、OK,主體都消滅了,現在不要嘗試去刪除它的註冊表項,那是徒勞的。
因為它注入了其他的進程,還保存著原來.的記憶體映射,而且還是有效的。
5、重啟,打開SREng,刪除:
註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<><C:\winnt\system32\kvdxcma.dll> []
原值為:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxcma.dll> []
選編輯,把kvdxcma.dll去掉後確定。
7、修改大話西遊密碼(如果有)。
8、開始-regedit,刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU下的:
NoAutoUpdate和AUOptions鍵值。
還有:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
的EnableFirewall鍵。
方法二:
1、http://free.ys168.com/?gudugengkekao1下載:
冰刃.rar 2,110KB
sreng2.5.zip 780KB
2、打開冰刃,設定禁止執行緒創建,確定。
C:\Windows\Fonts\ardaase.fon 91 位元組
C:\Windows\system32\kvdxacf.dll 52 位元組
C:\Windows\system32\kvdxcis.exe 12767 位元組
C:\Windows\system32\kvdxcma.dll 20048 位元組
4、冰刃選項-“重啟並監視”。
5、重啟後打開SREng,刪除:
註冊表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<><C:\winnt\system32\kvdxcma.dll> []
6、還是SREng的註冊表項,不過這個不能刪除,編輯置空。
原值為:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxcma.dll> []
選編輯,把kvdxcma.dll去掉後確定。
7、修改大話西遊密碼(如果有)。
8、開始-regedit,刪除:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU下的:
NoAutoUpdate和AUOptions鍵值。
還有:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
的EnableFirewall鍵。
本文出自 “孤獨更可靠” 部落格,請務必保留此出處http://gudugengkekao.blog.51cto.com/172212/44136