文件名称：msepbe.dll

文件大小：3450 字节

AV命名：Trojan-PSW.Win32.OnLineGames.yzt(卡巴斯基)

加壳方式：Upack

编写语言：Delphi

文件MD5：784b752c55b1cd17be2291e43bd7a38d

病毒类型：盗号木马

行为分析：

1、释放文件：

C:\WINDOWS\system32\msepbe.dll 3450 字节

2、添加到注册表启动：

Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Registry value: AppInit_DLLs

New value:

Type: REG_EXPAND_SZ

3、注入每个运行中的进程，并安装全局钩子

4、监控鼠标、键盘操作，可能作为盗号用。

5、每隔一段时间写入AppInit_DLLs启动项，填充垃圾数据：

Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Registry value: AppInit_DLLs

New value:

Type: REG_EXPAND_SZ

Value: wfhyt.dll,kghk.dll,ethsh.dll,stehs.dll,sthth.dll,frntrn.dll,qrhhb.dll,drghszd.dll,

fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,

serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,

dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,

mgmgmm.dll,oqrthc.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,

zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg

6、最后会调用CMD，删除原载体

解决方法：

1、下载SREng(可到down.45it.com下载)，在注册表启动那项，把AppInit_DLLs“编辑”(如下图)。

注意一定不要删除，编辑为空，然后确定。

最好是在安全模式下进行

2、重启计算机后，删除文件：

C:\WINDOWS\system32\msepbe.dll

如果有看到：rhs.cfg和rhs.dll，也一并删除。