xiajian大盗:di6ic2ug.dll(随机名),hi.exe

浏览:22日期:2022-08-07

;病毒标签:   病毒名称:Trojan-GameThief.Win32.XiaJian.k   病毒别名:xiajian大盗   病毒类型:木马类   危害级别:3   感染平台:Windows   病毒大小:21,504 字节   S H A 1 :e9c284e0b4eb5e9f9ae0908cd1830306a2d6b856   加壳类型:无壳   开发工具:Microsoft Visual C++ 6.0

病毒行为:

1、拷贝病毒体到以下文件夹,并调用WinExec运行该文件后删除病毒文件: %System%hi.exe(21,504 字节) 2、释放病毒dll文件到以下文件夹,并调用Rundll.exe来执行该病毒文件: %System%di6ic2ug.dll(17,000 字节)(随机名) 3、添加以下注册表键值,达到随机启动的目的: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows 数值名称:AppInit_DLLs 数值数据:di6ic2ug.dll(随机名) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerShellExecuteHooks 数值名称:{CB4369B6-F362-4e68-8786-0895D86C9D7A} 数值数据:di6ic2ug.dll(随机名) 4、添加以下注册表项和键值,创建钩子来窃取密码: HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A} HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32 数值名称:"" 数值数据:di6ic2ug.dll(随机名) 数值名称:ThreadingModel 数值数据:Apartment

解决方案

手工清除方法:

  1、删除病毒释放的文件: 打开超级巡警工具箱,选择【扩展功能】,从【文件浏览器】中找到以下文件,在文件上右键暴力删除: %System%di6ic2ug.dll(17,000 字节)(随机名)     2、重启电脑后,删除以下注册表项或注册表键值: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows 数值名称:AppInit_DLLs 数值数据:di6ic2ug.dll(随机名) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerShellExecuteHooks 数值名称:{CB4369B6-F362-4e68-8786-0895D86C9D7A} 数值数据:di6ic2ug.dll(随机名) HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A} HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32 数值名称:"" 数值数据:di6ic2ug.dll(随机名) 数值名称:ThreadingModel 数值数据:Apartment

相关文章: