| 词条 | Trojan.PSW.Win32.XYOnline.jq |
| 释义 | kvdxcis.exe kvdxcma.dll(Trojan.PSW.Win32.XYOnline.jq)解决方法 kvdxcis.exe kvdxcma.dll(Trojan.PSW.Win32.XYOnline.jq)解决方法 文件名称:kvdxcis.exe 文件大小:12767 bytes AV命名:Trojan-PSW.Win32.OnLineGames.dpb(卡吧斯基) 加壳方式:Upack 0.3.9 beta2s 编写语言:E语言+Delphi(Dll) 病毒类型:盗号木马 文件MD5:9d687622a2b01661372c94780fc8db23 行为: 1、释放病毒副本: C:\\Windows\\Fonts\\a.rdaase.fon 91 字节 C:\\Windows\\system32\\kvdxacf.dll 52 字节 C:\\Windows\\system32\\kvdxcis.exe 12767 字节 C:\\Windows\\system32\\kvdxcma.dll 20048 字节 2、释放P处理,删除verclsid.exe 3、修改2处注册表关键项,开机自启: AppInit_DLLs和ShellExecuteHooks。 4、修改注册表,禁用系统防火墙和自动更新功能。 键值为NoAutoUpdate与EnableFirewall。 5、kvdxcma.dll 安装全局钩子(Hook),注入所有运行中的进程。 挂钩类型:WH_KEYBOARD、WH_MOUSE、WH_GETMESSAGE。 6、检测网游大话西游进程,由第5点的Hook技术获取其输入的帐号和密码。 应该是保存至C:\\Program Files\etMeeting\\*.cfg。并.发送外部。 7、尝试关闭名为TQAT.exe的进程。 ???? 8、由kvdxcma.dll监控自身的注册表项,每几毫秒检测一次,如不再,则重写。 (这点比较狠毒,因为它注入除系统核心外.的所有进程,所以很麻烦。基本上一删除就又有了)。 解决方案: 因为自己没有测试删除方法,给2套了,如果不能删除掉的话,麻烦跟个贴。。 方法一: 1、http://free.ys168.com/?gudugengkekao1下载: sreng2.5.zip 780KB PowerRmv.com 101KB 2、断开网络,关闭不需要的进程。 3、打开PowerEmv,选上“抑制对象再次生成”,填入: C:\\Windows\\Fonts\\ardaase.fon C:\\Windows\\system32\\kvdxacf.dll C:\\Windows\\system32\\kvdxcis.exe C:\\Windows\\system32\\kvdxcma.dll 4、OK,主体都消灭了,现在不要尝试去删除它的注册表项,那是徒劳的。 因为它注入了其他的进程,还保存着原来.的内存映射,而且还是有效的。 5、重启,打开SREng,删除: 注册表: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks] <><C:\\winnt\\system32\\kvdxcma.dll> [] 6、还是SREng的注册表项,不过这个不能删除,编辑置空。 原值为: [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] <AppInit_DLLs><kvdxcma.dll> [] 选编辑,把kvdxcma.dll去掉后确定。 7、修改大话西游密码(如果有)。 8、开始-regedit,删除: HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU下的: NoAutoUpdate和AUOptions键值。 还有: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile 的EnableFirewall键。 方法二: 1、http://free.ys168.com/?gudugengkekao1下载: 冰刃.rar 2,110KB sreng2.5.zip 780KB 2、打开冰刃,设置禁止线程创建,确定。 3、冰刃“文件”选项,删除文件: C:\\Windows\\Fonts\\ardaase.fon 91 字节 C:\\Windows\\system32\\kvdxacf.dll 52 字节 C:\\Windows\\system32\\kvdxcis.exe 12767 字节 C:\\Windows\\system32\\kvdxcma.dll 20048 字节 4、冰刃选项-“重启并监视”。 5、重启后打开SREng,删除: 注册表: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks] <><C:\\winnt\\system32\\kvdxcma.dll> [] 6、还是SREng的注册表项,不过这个不能删除,编辑置空。 原值为: [HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows] <AppInit_DLLs><kvdxcma.dll> [] 选编辑,把kvdxcma.dll去掉后确定。 7、修改大话西游密码(如果有)。 8、开始-regedit,删除: HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU下的: NoAutoUpdate和AUOptions键值。 还有: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile 的EnableFirewall键。 本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/44136 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。