扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:卡饭 来源:卡饭 2008年8月25日
病毒在Temp\RarSFX0目录下释放loadwg.exe kdxywg.exe kdxywg.txt运行loadwg.exe并调用kdxywg.exe
kdxywg.exe试图删除C:\WINDOWS\system32\verclsid.exe
释放病毒文件:
C:\windows\system32\kgfghd.dll
C:\windows\system32\tf0
注册表动作:注册表键: HKCR\CLSID\{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}\InProcServer32
注册表值: (默认)
类型: REG_SZ
值: C:\windows\system32\kgfghd.dll
添加挂钩:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}> <C:\windows\system32\kgfghd.dll>
通过诱惑用户输入用户名密码病毒利用安装全局钩子kgfghd.dll WH_GETMESSAGE(监控发送到消息队列的消息).WH_MOUSE(监控鼠标).WH_KEYBOARD(监控击键).得到用户的信息连接网络IP 地址: 210.51.52.186 最终盗取口袋西游用户密码
kgfghd.dll,kdxywg.exe病毒解决方案:
使用360文件粉碎工具删除C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\loadwg.exe
C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.exe
C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.txt
C:\windows\system32\kgfghd.dll
在注册表中找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks删除<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}>
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。