kvdxcma.dll(Trojan.PSW.Win32.XYOnline.jq)病毒手动解决

文件名称：kvdxcis.exe

文件大小：12767 bytes

AV命名：Trojan-PSW.Win32.OnLineGames.dpb(卡吧斯基)

加壳方式：Upack 0.3.9 beta2s

编写语言：E语言+Delphi(Dll)

病毒类型：盗号木马

文件MD5：9d687622a2b01661372c94780fc8db23

行为：

1、释放病毒副本：

C:\Windows\Fonts\ardaase.fon 91 字节

C:\Windows\system32\kvdxacf.dll 52 字节

C:\Windows\system32\kvdxcis.exe 12767 字节

C:\Windows\system32\kvdxcma.dll 20048 字节

2、释放P处理，删除verclsid.exe

3、修改2处注册表关键项，开机自启：

AppInit_DLLs和ShellExecuteHooks。

4、修改注册表，禁用系统防火墙和自动更新功能。

键值为NoAutoUpdate与EnableFirewall。

5、kvdxcma.dll 安装全局钩子（Hook），注入所有运行中的进程。

挂钩类型：WH_KEYBOARD、WH_MOUSE、WH_GETMESSAGE。

6、检测网游大话西游进程，由第5点的Hook技术获取其输入的帐号和密码。

应该是保存至C:\Program Files\NetMeeting\*.cfg。并发送外部。

7、尝试关闭名为TQAT.exe的进程。

？？？？

8、由kvdxcma.dll监控自身的注册表项，每几毫秒检测一次，如不再，则重写。

（这点比较狠毒，因为它注入除系统核心外的所有进程，所以很麻烦。基本上一删除就又有了）。

解决方案：

因为自己没有测试删除方法，给2套了，如果不能删除掉的话，麻烦跟个贴。。

方法一：

1、到down.45it.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

2、断开网络，关闭不需要的进程。

3、打开PowerEmv(可到down.45it.com下载)，选上“抑制对象再次生成”，依次填入：

C:\Windows\Fonts\ardaase.fon

C:\Windows\system32\kvdxacf.dll

C:\Windows\system32\kvdxcis.exe

C:\Windows\system32\kvdxcma.dll

4、OK，主体都消灭了，现在不要尝试去删除它的注册表项，那是徒劳的。

因为它注入了其他的进程，还保存着原来的内存映射，而且还是有效的。

5、重启，打开SREng，删除：

注册表（详细步骤：打开SREng－启动项目－注册表）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\winnt\system32\kvdxcma.dll> []

6、还是SREng的注册表项，不过这个不能删除，编辑置空。

原值为：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxcma.dll> []

选编辑，把kvdxcma.dll去掉后确定。

7、修改大话西游密码（如果有）。

8、开始-regedit(开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作)，删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU下的：

NoAutoUpdate和AUOptions键值。

还有：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile

的EnableFirewall键。

方法二：

1、down.45it.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

2、打开冰刃，设置禁止线程创建，确定。

3、冰刃“文件”选项，删除文件：