文件: kdxywg.exe 大小: 359372 字节 修改时间: 2008年7月23日, 17:17:32 MD5: 64AF0CEC9D2CF75770283034EB0C984C SHA1: 83877B432A1CB4E105C18CB1E8EF386C884CA3F5 CRC32: 2B344324 在Temp\RarSFX0目录下释放loadwg.exe kdxywg.exe kdxywg.txt运行loadwg.exe并调用kdxywg.exe kdxywg.exe试图删除C:\WINDOWS\system32\verclsid.exe 释放病毒文件:C:\windows\system32\kgfghd.dll C:\windows\system32\tf0 注册表动作:注册表键: HKCR\CLSID\{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}\InProcServer32 注册表值: (默认) 类型: REG_SZ 值: C:\windows\system32\kgfghd.dll 添加挂钩:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks <{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}> <C:\windows\system32\kgfghd.dll> 通过 诱惑用户输入用户名密码病毒利用安装全局钩子kgfghd.dll WH_GETMESSAGE(监控发送到消息队列的消息).WH_MOUSE(监控鼠标).WH_KEYBOARD(监控击键).得到用户的信息连接网络IP 地址: 210.51.52.186 最终盗口袋西游用户密码 解决方案:使用360文件粉碎工具删除(可到down.45it.com下载) C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.exe C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.txt C:\windows\system32\kgfghd.dll 在注册表中找到(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks删除<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}> |