Trojan-PSW.Win32.OnLineGames.lfd 查杀
病毒描述:
该病毒为盗号木马,盗取QQ幻想的帐号木马。
命名对照:
江民杀毒 Trojan/PSW.GamePass.aepf
熊猫卫士 Suspicious file
瑞星 Trojan.PSW.Win32.XYOnline.xu
行为分析:
将系统原本的服务替换并把启动类型改为Auto Start:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AsyncMac "ImagePath"
Old data: system32\DRIVERS\asyncmac.sys
New data: system32\DRIVERS\comint32.sys
新增服务启动项目:
[comint32 / comint32][Running/Manual Start]
{\??\C:\WINDOWS\system32\DRIVERS\comint32.sys}{N/A}
释放文件:
c:\name.log
Date: 12-20-2007 6:56 PM
Size: 60 bytes
c:\Documents and Settings\Administrator\Local Settings\Temp\tmp5.tmp
Date: 12-20-2007 6:56 PM
Size: 2,816 bytes
c:\WINDOWS\system32\gdhnxai32.cfg
Date: 12-20-2007 6:56 PM
Size: 144 bytes
c:\WINDOWS\system32\gdhnxai32.dll
Date: 12-20-2007 6:56 PM
Size: 14,080 bytes
解决方案:
删除服务:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COMINT32
修改服务:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AsyncMac "ImagePath"
NEW data: system32\DRIVERS\asyncmac.sys
OLD data: system32\DRIVERS\comint32.sys
删除文件:
c:\name.log
c:\Documents and Settings\Administrator\Local Settings\Temp\tmp5.tmp
c:\WINDOWS\system32\gdhnxai32.cfg
c:\WINDOWS\system32\gdhnxai32.dll
www.newjian.com
您的位置: