kdxywg.exe loadwg.exe kgfghd.dll病毒手动清除
文件: kdxywg.exe大小: 359372 字节
修改时间: 2008年7月23日, 17:17:32
MD5: 64AF0CEC9D2CF75770283034EB0C984C
SHA1: 83877B432A1CB4E105C18CB1E8EF386C884CA3F5
CRC32: 2B344324
在Temp\RarSFX0目录下释放loadwg.exe kdxywg.exe kdxywg.txt运行loadwg.exe并调用kdxywg.exe
kdxywg.exe试图删除C:\WINDOWS\system32\verclsid.exe
释放病毒文件:C:\windows\system32\kgfghd.dll
C:\windows\system32\tf0
注册表动作:注册表键: HKCR\CLSID\{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}\InProcServer32
注册表值: (默认)
类型: REG_SZ
值: C:\windows\system32\kgfghd.dll
添加挂钩:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}> <C:\windows\system32\kgfghd.dll>
通过
诱惑用户输入用户名密码病毒利用安装全局钩子kgfghd.dll WH_GETMESSAGE(监控发送到消息队列的消息).WH_MOUSE(监控鼠标).WH_KEYBOARD(监控击键).得到用户的信息连接网络IP 地址: 210.51.52.186 最终盗取口袋西游用户密码
解决方案:使用360文件粉碎工具删除(可到down.45it.com下载)
C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\loadwg.exeC:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.exeC:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.txtC:\windows\system32\kgfghd.dll在注册表中找到(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks删除<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}>用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; TheWorld)
