;病毒标签: 病毒名称:Trojan-GameThief.Win32.XiaJian.k 病毒别名:xiajian大盗 病毒类型:木马类 危害级别:3 感染平台:Windows 病毒大小:21,504 字节 S H A 1 :e9c284e0b4eb5e9f9ae0908cd1830306a2d6b856 加壳类型:无壳 开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、拷贝病毒体到以下文件夹,并调用WinExec运行该文件后删除病毒文件: %System%hi.exe(21,504 字节) 2、释放病毒dll文件到以下文件夹,并调用Rundll.exe来执行该病毒文件: %System%di6ic2ug.dll(17,000 字节)(随机名) 3、添加以下注册表键值,达到随机启动的目的: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows 数值名称:AppInit_DLLs 数值数据:di6ic2ug.dll(随机名) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerShellExecuteHooks 数值名称:{CB4369B6-F362-4e68-8786-0895D86C9D7A} 数值数据:di6ic2ug.dll(随机名) 4、添加以下注册表项和键值,创建钩子来窃取密码: HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A} HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32 数值名称:"" 数值数据:di6ic2ug.dll(随机名) 数值名称:ThreadingModel 数值数据:Apartment
解决方案
手工清除方法:
1、删除病毒释放的文件: 打开超级巡警工具箱,选择【扩展功能】,从【文件浏览器】中找到以下文件,在文件上右键暴力删除: %System%di6ic2ug.dll(17,000 字节)(随机名) 2、重启电脑后,删除以下注册表项或注册表键值: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows 数值名称:AppInit_DLLs 数值数据:di6ic2ug.dll(随机名) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion ExplorerShellExecuteHooks 数值名称:{CB4369B6-F362-4e68-8786-0895D86C9D7A} 数值数据:di6ic2ug.dll(随机名) HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A} HKEY_CLASSES_ROOTCLSID{CB4369B6-F362-4e68-8786-0895D86C9D7A}InProcServer32 数值名称:"" 数值数据:di6ic2ug.dll(随机名) 数值名称:ThreadingModel 数值数据:Apartment
