kgfghd.dll,kdxywg.exe,loadwg.exe病毒清除方案

病毒在Temp\RarSFX0目录下释放loadwg.exe kdxywg.exe kdxywg.txt运行loadwg.exe并调用kdxywg.exe

kdxywg.exe试图删除C:\WINDOWS\system32\verclsid.exe

释放病毒文件：
C:\windows\system32\kgfghd.dll
C:\windows\system32\tf0

注册表动作：注册表键： HKCR\CLSID\{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}\InProcServer32

注册表值： （默认）

类型: REG_SZ

值： C:\windows\system32\kgfghd.dll

添加挂钩：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}> <C:\windows\system32\kgfghd.dll>

通过诱惑用户输入用户名密码病毒利用安装全局钩子kgfghd.dll WH_GETMESSAGE（监控发送到消息队列的消息）.WH_MOUSE（监控鼠标）.WH_KEYBOARD（监控击键）.得到用户的信息连接网络IP 地址： 210.51.52.186 最终盗取口袋西游用户密码

kgfghd.dll,kdxywg.exe病毒解决方案：

使用360文件粉碎工具删除C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\loadwg.exe

C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.exe

C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.txt

C:\windows\system32\kgfghd.dll

在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks删除<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}>