Trojan-PSW.Win32.WOW.bv手动清除方法
<BR>
<P> 病毒描述:</P>
<P> 该病毒运行后,释放若干病毒副本到%Windows%与%\System32\%目录下,修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefiles为winfiles,新建键值,把exe文件与病毒文件相关联,并添加启动项,以达到开机后运行病毒与打开任意程序即运行病毒的目的。该病毒会盗取“征途”、“魔兽”等网络游戏的个人信息,发到指定网站。</P>
<P> 行为分析:</P>
<P> 1、释放下列副本与文件</P>
<P> %\Program Files\Common Files\% iexplore.pif</P>
<P> %\Windows\% 1.com</P>
<P> %\Windows\% ExERoute.com Trojan-PSW.Win32.WOW.bv</P>
<P> %\Windows\% explore.com 同上</P>
<P> %\Windows\% finder.com 同上</P>
<P> %\Windows\% KB890859.log 同上</P>
<P> %\Windows\% WINLOGON.EXE 同上</P>
<P> %\Windows\%LastCood\INF\oem5.inf</P>
<P> %\Windows\%LastCood\INF\oem5.PNF</P>
<P> %\System32\%command 指向MS-Dos的快捷方式</P>
<P> %\System32\% dxdiag.com 同上</P>
<P> %\System32\% finder.com 同上</P>
<P> %\System32\% msconfig.com 同上</P>
<P> %\System32\% regedit.com 同上</P>
<P> %\System32\% rundll32.com 同上</P>
<P> D:\autorun.inf</P>
<P> D:\pagefile.pif</P>
<P> 2、新建注册表键值:</P>
<P> 在此键值下新建若干病毒释放文件相关键值</P>
<P> HKEY_CURRENT_USER\Software\Microsoft\Windows</P>
<P> \ShellNoRoam\Bags\15\Shell\</P>
<P> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\</P>
<P> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles</P>
<P> \Shell\Open\Command\@</P>
<P> 键值: 字符串: "C:\WINDOWS\ExERoute.exe "%1" %*"</P>
<P> HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet</P>
<P> \iexplore.pif\shell\open\command\@</P>
<P> 键值: 字符串:""C:\ProgramFiles\common~1\iexplore.pif""</P>
<P> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows</P>
<P> \CurrentVersion\Run\Torjan Program</P>
<P> 键值: 字符串: "C:\WINDOWS\WINLOGON.EXE"</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery</P>
<P> \LastGood\</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\LastKnownGoodRecovery</P>
<P> \LastGood\INF/oem5.inf</P>
<P> 键值: DWORD: 1 (0x1)</P>
<P> 3、病毒会检测下列进程,并关闭</P>
<P> ravmon.exe 瑞星的实时监控组件</P>
<P> trojdie* 江民监控程序</P>
<P> kpop*</P>
<P> ccenter* 瑞星杀毒软件控制台相关程序</P>
<P> *assistse*</P>
<P> kpfw* 天网个人防火墙</P>
<P> agentsvr*</P>
<P> kv* 江民杀软进程</P>
<P> kreg*</P>
<P> iefind*</P>
<P> iparmor* 木马克星</P>
<P> svi.exe</P>
<P> uphc*</P>
<P> rulewize*</P>
<P> fygt*</P>
<P> rfwsrv*</P>
<P> rfwma*</P>
<P> 4、通过修改WOW/\realmlist.wtfr文件中地址,可转换服务器。</P>
<P> us.logon.worldofwarcraft.com 美服</P>
<P> eu.logon.worldofwarcraft.com 欧服</P>
<P> tw.logon.worldofwarcraft.com 台服</P>
<P> 搜集信息包括;</P>
<P> companyname;filedescription;fileversion;internalname;legalcopyright;</P>
<P> originalfilename;productname;productversion;comments;legaltr</P>
<P> 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。</P>
<P> 清除方案:</P>
<P> 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。</P>
<P> (1) 使用安天木马防线“进程管理”关闭病毒进程</P>
<P> WINLOGN.EXE</P>
<P> (2) 删除病毒文件</P>
<P> %\Program Files\Common Files\%</P>
<P> %\Windows\% 1.com</P>
<P> %\Windows\% ExERoute.com</P>
<P> %\Windows\% explore.com</P>
<P> %\Windows\% finder.com</P>
<P> %\Windows\% KB890859.log</P>
<P> %\Windows\% WINLOGON.EXE</P>
<P> %\Windows\%LastCood\INF\oem5.inf</P>
<P> %\Windows\%LastCood\INF\oem5.PNF</P>
<P> %\System32\%command 指向MS-Dos的快捷方式</P>
<P> %\System32\% dxdiag.com</P>
<P> %\System32\% finder.com</P>
<P> %\System32\% msconfig.com</P>
<P> %\System32\% regedit.com</P>
<P> %\System32\% rundll32.com</P>
<P> D:\autorun.inf</P>
<P> D:\pagefile.pif</P>
<P> (3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项</P>
<P> 修改HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles</P>
<P> 为HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile</P>
<P> \shell\open\command</P>
<P> "%1" %*</P>
<P> 修改键值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles</P>
<P> \Shell\Open\Command\@</P>
<P> 键值: 字符串: "C:\WINDOWS\ExERoute.exe "%1" %*"</P>
<P> 为HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile</P>
<P> \shell\open\command</P>
<P> 键值: 字符串: "%1" %*</P>
<P> 删除注册表项:HKEY_CURRENT_USER\Software\Microsoft\Windows</P>
<P> \ShellNoRoam\Bags\15\Shell</P>
<P> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows</P>
<P> \CurrentVersion\Run\Torjan Program</P>
<P> 键值: 字符串: "C:\WINDOWS\WINLOGON.EXE"</P> <BR>
页:
[1]