当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
Trojan-PSW.Win32.OnLineGames.pcm(kavo.exe)病毒手动解决 | |||
2008-2-16 15:10:24 文/孤独更可… 出处:发掘网 | |||
文件名称:kavo.exe 文件大小:116464 bytes AV命名: Trojan-PSW.Win32.OnLineGames.pcm(Kaspersky) Trojan.PSW.Win32.GameOL.lor(Rising) Worm/AutoRun.Y(AVG) 编写语言:delphi 文件MD5:3b08963e3b2cae9e3b4dc38b21b2a69d 病毒类型:盗号木马 行为分析: 1、 释放病毒文件: C:\WINDOWS\system32\kavo.exe 113759 字节 C:\WINDOWS\system32\kavo0.dll 96768 字节 C:\WINDOWS\system32\kavo1.dll 96768 字节 2、 添加注册表,开机启动: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run kava = REG_SZ, "C:\windows\system32\kavo.exe" 3、 修改注册表,记录下载地址的版本: HKEY_CLASSES_ROOT\CLSID\MADOWN 当前为:"cdfty1.7" 4、 启动IE进程,连接网络下载木马,释放: C:\WINDOWS\system32\tavo.exe C:\WINDOWS\system32\tavo0.dll 5、 tavo0.dll和kavo1.dll则注入系统进程,监视鼠标、键盘操作,盗木马。 6、 释放驱动,随机命名的,然后删除自身。 7、 修改注册表,破坏显示隐藏文件功能。 8、遍历磁盘,生成病毒文件和autorun.inf 解决方法: 1、 下载SREng(可到down.45its.com下载),然后断开网络连接。 2、 打开SREng,删除注册表键: (注册表值) kava和(注册表值) tava 3、 重启计算机,删除文件: C:\WINDOWS\system32\kavo.exe 113759 字节 C:\WINDOWS\system32\kavo0.dll 96768 字节 C:\WINDOWS\system32\kavo1.dll 96768 字节 C:\WINDOWS\system32\tavo.exe C:\WINDOWS\system32\tavo0.dll 还有每个磁盘下的autorun.inf和病毒文件,也删除,建议用winrar 4、 其他: 修改注册表修复显示隐藏文件功能: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced (*)(注册表值) Hidden REG_DWORD, 2 修改为 REG_DWORD, 1 (*)(注册表值) ShowSuperHidden REG_DWORD, 0 修改为 REG_DWORD, 1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL (*)(注册表值) CheckedValue REG_DWORD, 0修改为 REG_DWORD, 1 |
|||
最新热点 | 最新推荐 | 相关文章 | ||
12月12日电脑市场行情 12月2日电脑市场行情 11月28日电脑市场行情 11月9日电脑市场行情 10月31日电脑市场行情 10月21日电脑市场行情 10月13日电脑市场行情 9月26日电脑市场行情 9月14日电脑市场行情 8月21日电脑市场行情 |
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |