Win32.Troj.Agent.lm.77824清除

xxyXpMFV.exe,Win32.Troj.Agent.lm.77824这是一个键盘记录器病毒。它利用U盘等移动存储器来进行传播，进入用户电脑后会修改注册表实现自启动，然后记录用户的键盘操作。

1.释放病毒文件
%system32%\xxyXpMFV.dll
%SYSTEM32%\xxyXpMFV.exe
%SYSTEM32%\drivers\xxyXpMFV.sys

文件名都是随机生成的

2.创建键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\xxyXpMFV
"Startup"="logon_startup"
"Impersonate"=""
"DllName"="xxyXpMFV.dll"
"Asynchronous"=""

HKLM\System\CurrentControlSet\Services\xxyXpMFV
"Type"=""
"ErrorControl"=""
"Start"=""
"DisplayName"="xxyXpMFV"
"ImagePath"="\%system32%\drivers\xxyXpMFV.sys"

3.病毒会用cmd命令删除自身

4.在注册表中创建0xbe8e2ce1, 0xdab6, 0x11d6, 0xad, 0xd0, 0x0, 0xe0, 0x4c, 0x53, 0xf6, 0xe6互斥量。

往U盘里复制xxyXpMFV.exe和Autorun.inf
Autorun.inf，大小83字节，内容如下：
[AutoRun]
shell=verb1
shell\verb1\command=xxyXpMFV.exe -showU
shell\verb1=Open

5. xxyXpMFV.dll的行为：
监控Active Windows Title，记录键盘[DEL] [INS] [DF] [RF] [UF] [LF] [HOME] [END] [PD] [PU] [SP] [ESC] [EN]
[TAB] [BK] [F12] [F11] [F10] [F9] [F8] [F7] [F6] [F5] [F4] [F3] [F2] [F1]

推荐安装金山毒霸正版的杀毒软件进行全面监控，防范日益增多的病毒

怀疑中毒的用户可使用线查毒进行病毒查证。免费在线查毒地址：
http://www.antidu.cn/board/online/

已经中毒的用户，可以去论坛提问求助
http://bbs.antidu.cn