请输入您要查询的百科知识:

 

词条 Trojan-PSW.Win32.Lmir.atv
释义

该病毒属木马类。病毒运行后在系统盘创建相关文件,之后修改注册表文件,添加到启动项,达到随系统启动的目的。在任务管理器中显示为WINLOGON.EXE进程,用户名为机器名,伪装系统进程winlogon.exe。该病毒对用户有一定的危害。

病毒资料

病毒名称: Trojan-PSW.Win32.Lmir.atv

病毒类型: 木马类

文件 MD5:7351c8affecbd8a0ae644c7142c45c35

公开范围: 完全公开

危害等级: 中

文件长度:90448 字节

感染系统: windows98以上版本

命名对照:Symentec[无]

Mcafee[无]

行为分析

修改注册表文件

1.病毒运行后在系统盘创建相关文件,之后修改注册表文件。

创建文件

2.病毒运行后创建如下文件:

%program Files%\\common files

%program Files%\\internet explorer

%windir%/debug

%system32%

%windir% iexplore.com

iexplore.com

debugprogram.exe

dxdiag.com

Finder.com

Msconfig.com

Regedit.com

Rundll32.com

Command.pif

1.com

exeroute.exe

explorer.com

finder.com

WINLOGON.EXE

添加注册表启动

3.添加注册表启动,达到随系统启动的目的:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

键值:字串:“Torjan Program”= “C:\\WINDOWS\\WINLOGON.EXE"

新建注册表项

4.新建注册表项:

HKEY_CURRENT_USER\\Software\\Microsoft

\\Internet Explorer\\Main\\

新建键名:”Check_Associations”

新建键值:"No"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\ShellNoRoam\\MUICache\\C:\\Program Files\\common~1\\

新建键名:”iexplore.pif”

新建键值: "iexplore"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\DefaultIcon\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\DefaultIcon\\

新建键名:”默认“

新建键值: "%1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles\\Shell\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\Command\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\winfiles

\\Shell\\Open\\Command\\

新建键名:”默认“

新建键值: "C:\\WINDOWS\\ExERoute.exe "%1" %*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\LocalizedString

新建键名:”默认“

新建键值: "iexplore"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\shell\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\shell\\open\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\shell\\open\\command\\

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

\\iexplore.pif\\shell\\open\\command\\

新建键名:”默认”

新建键值: ""C:\\Program Files\\common~1\\iexplore.pif""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

新建键名:Torjan Program

新建键值: "C:\\WINDOWS\\WINLOGON.EXE"

修改的注册表

5.修改的注册表:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.bfc\\ShellNew

原键值:字串:Command”=””%SystemRoot%\\system32\\rundll32.exe

%SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

改键值:字串:Command”="%SystemRoot%\\system32\\rundll32.com

%SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.exe

原键值:字串:”默认”="exefile"

改键值:字串:”默认”="winfiles"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\.lnk\\ShellNew

原键值:字串:”Command”= "rundll32.exe appwiz.cpl,NewLinkHere %1"

改键值:字串:”Command”="rundll32.com appwiz.cpl,NewLinkHere %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Applications

\\iexplore.exe\\shell\\open\\command\\

原键值:字串:”默认” =""C:\\Program Files

\\Internet Explorer\\iexplore.exe" %1"

改键值:字串:”默认” =""C:\\Program Files

\\Internet Explorer\\iexplore.com" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID \\{871C5380-42A0-1069-A2EA-08002B30309D}\\shell\\OpenHomePage\\Command

原键值:字串:”默认”=""C:\\Program Files\\Internet Explorer

\\iexplore.exe""

改键值:字串:"默认" =""C:\\Program Files\\Internet Explorer

\\iexplore.com""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\cplfile\\shell\\cplopen\\command

原键值:字串:”默认”="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"

改键值:字串:"rundll32.com shell32.dll,Control_RunDLL "%1",%*"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Drive\\shell\\find\\command

原键值:字串:”默认”="%SystemRoot%\\explorer.exe"

改键值:字串:"默认"="%SystemRoot%\\explorer.com"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\dunfile\\shell\\open\\command

原键值:字串:”默认”="%SystemRoot%\\system32

\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

改键值:字串:"默认"="%SystemRoot%\\system32

\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\ftp\\shell\\open\\command

原键值:字串:”默认”=""C:\\Program Files

\\Internet Explorer\\iexplore.exe" %1"

改键值:字串:"默认"=""C:\\Program Files

\\Internet Explorer\\iexplore.com" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\open\\command

原键值:字串:”默认”=""C:\\Program Files

\\Internet Explorer\\iexplore.exe" -nohome"

改键值:字串:"默认"=""C:\\Program Files

\\Internet Explorer\\iexplore.com" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\htmlfile\\shell\\opennew\\command

原键值:字串:”默认”=""C:\\Program Files

\\Internet Explorer\\iexplore.exe" %1"

改键值:字串:"默认"=""C:\\Program Files\\common~1\\iexplore.pif" %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes

\\htmlfile\\shell\\print\\command

原键值:字串:”默认”="rundll32.exe %SystemRoot%

\\system32\\mshtml.dll,PrintHTML "%1""

改键值:字串:"默认"="rundll32.com %SystemRoot%

\\system32\\mshtml.dll,PrintHTML "%1""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\HTTP\\shell\\open\\command

原键值:字串:”默认”=""C:\\Program Files

\\Internet Explorer\\iexplore.exe" -nohome"

改键值:字串:"默认"=""C:\\Program Files\\common~1\\iexplore.pif" -nohome"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\inffile

\\shell\\Install\\command

原键值:字串:”默认”="%SystemRoot%\\System32

\\rundll32.exe setupapi,InstallHinfSection

DefaultInstall 132 %1"

改键值:字串:"默认"="%SystemRoot%\\System32

\\rundll32.com setupapi,InstallHinfSection

DefaultInstall 132 %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\InternetShortcut

\\shell\\open\\command

原键值:字串:”默认”="rundll32.exe shdocvw.dll,OpenURL %l"

改键值:字串:"默认"="finder.com shdocvw.dll,OpenURL %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scrfile\\shell\\install\\command

原键值:字串:”默认”="rundll32.exe desk.cpl,InstallScreenSaver %l"

改键值:字串:"默认"="finder.com desk.cpl,InstallScreenSaver %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\scriptletfile\\Shell\\Generate

Typelib\\command

原键值:字串:”默认”=""C:\\WINDOWS\\system32\\RUNDLL32.EXE"

C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib "%1""

改键值:字串:"默认"=""C:\\WINDOWS\\system32\\finder.com"

C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib "%1""

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\telnet\\shell\\open\\command

原键值:字串:”默认”="rundll32.exe url.dll,TelnetProtocolHandler %l"

改键值:字串:"默认"="finder.com url.dll,TelnetProtocolHandler %l"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Unknown\\shell\\openas\\command

原键值:字串:”默认”=%SystemRoot%\\system32\\rundll32.exe

%SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

改键值:字串:"默认"="%SystemRoot%\\system32\\finder.com

%SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Clients\\StartMenuInternet

原键值:字串:”默认”="IEXPLORE.EXE"

改键值:字串:"默认"="iexplore.pif"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT

\\CurrentVersion\\Winlogon

原键值:字串:”Shell”="Explorer.exe"

改键值:字串:”Shell”="Explorer.exe 1"

--------------------------------------------------------------------------------

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件:

%program Files%\\common files

%program Files%\\internet explorer

%windir%/debug

%system32%

%windir% iexplore.com

iexplore.com

debugprogram.exe

dxdiag.com

Finder.com

Msconfig.com

Regedit.com

Rundll32.com

Command.pif

1.com

exeroute.exe

explorer.com

finder.com

WINLOGON.EXE

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。

(点击下载修复注册表文件)

注:%Program Files%是一个可变路径。系统默认的安装路径是C:\\Program Files。

%windir%是一个可变路径。系统默认的安装路径是Windows2000/NT中默认的安装路径是C:\\Winnt,windows95/98/me/xp中默认的安装路径是C:\\Windows。

% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。
随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/11/16 3:17:29