瑞星卡卡安全论坛技术交流区可疑文件交流 kdxywg.exe loadwg.exe kgfghd.dll病毒手动清除

1   1  /  1  页   跳转

kdxywg.exe loadwg.exe kgfghd.dll病毒手动清除

kdxywg.exe loadwg.exe kgfghd.dll病毒手动清除

文件: kdxywg.exe
大小: 359372 字节
修改时间: 2008年7月23日, 17:17:32
MD5: 64AF0CEC9D2CF75770283034EB0C984C
SHA1: 83877B432A1CB4E105C18CB1E8EF386C884CA3F5
CRC32: 2B344324
在Temp\RarSFX0目录下释放loadwg.exe kdxywg.exe kdxywg.txt运行loadwg.exe并调用kdxywg.exe
kdxywg.exe试图删除C:\WINDOWS\system32\verclsid.exe
释放病毒文件:C:\windows\system32\kgfghd.dll
C:\windows\system32\tf0
注册表动作:注册表键: HKCR\CLSID\{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}\InProcServer32
注册表值: (默认)
类型: REG_SZ
值: C:\windows\system32\kgfghd.dll
添加挂钩:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}> <C:\windows\system32\kgfghd.dll>
通过

诱惑用户输入用户名密码病毒利用安装全局钩子kgfghd.dll WH_GETMESSAGE(监控发送到消息队列的消息).WH_MOUSE(监控鼠标).WH_KEYBOARD(监控击键).得到用户的信息连接网络IP 地址: 210.51.52.186 最终盗取口袋西游用户密码
解决方案:使用360文件粉碎工具删除(可到down.45it.com下载)
        C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\loadwg.exe

C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.exe
C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.txt
C:\windows\system32\kgfghd.dll
在注册表中找到(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks删除<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}>

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; TheWorld)
分享到:
gototop
 

回复:kdxywg.exe loadwg.exe kgfghd.dll病毒手动清除

样本呢?
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT