kvdxcma.dll(Trojan.PSW.Win32.XYOnline.jq)解决方法
文件名称:kvdxcis.exe
文件大小:12767 bytes
AV命名:Trojan-PSW.Win32.OnLineGames.dpb(卡吧斯基)
加壳方式:Upack 0.3.9 beta2s
编写语言:E语言+Delphi(Dll)
病毒类型:盗号木马
文件MD5:9d687622a2b01661372c94780fc8db23
行为:
1、释放病毒副本:
C:\Windows\Fonts\ardaase.fon 91 字节
C:\Windows\system32\kvdxacf.dll 52 字节
C:\Windows\system32\kvdxcis.exe 12767 字节
C:\Windows\system32\kvdxcma.dll 20048 字节
2、释放P处理,删除verclsid.exe
3、修改2处注册表关键项,开机自启:
AppInit_DLLs和ShellExecuteHooks。
4、修改注册表,禁用系统防火墙和自动更新功能。
键值为NoAutoUpdate与EnableFirewall。
5、kvdxcma.dll 安装全局钩子(Hook),注入所有运行中的进程。
挂钩类型:WH_KEYBOARD、WH_MOUSE、WH_GETMESSAGE。
6、检测网游大话西游进程,由第5点的Hook技术获取其输入的帐号和密码。
应该是保存至C:\Program Files\NetMeeting\*.cfg。并发送外部。
7、尝试关闭名为TQAT.exe的进程。
????
8、由kvdxcma.dll监控自身的注册表项,每几毫秒检测一次,如不再,则重写。
(这点比较狠毒,因为它注入除系统核心外的所有进程,所以很麻烦。基本上一删除就又有了)。
解决方案:
因为自己没有测试删除方法,给2套了,如果不能删除掉的话,麻烦跟个贴。。
方法一:
1、
[url]http://free.ys168.com/?gudugengkekao1[/url]
下载:
sreng2.5.zip 780KB
PowerRmv.com 101KB
2、断开网络,关闭不需要的进程。
3、打开PowerEmv,选上“抑制对象再次生成”,填入:
C:\Windows\Fonts\ardaase.fon
C:\Windows\system32\kvdxacf.dll
C:\Windows\system32\kvdxcis.exe
C:\Windows\system32\kvdxcma.dll
4、OK,主体都消灭了,现在不要尝试去删除它的注册表项,那是徒劳的。
因为它注入了其他的进程,还保存着原来的内存映射,而且还是有效的。
5、重启,打开SREng,删除:
注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\winnt\system32\kvdxcma.dll> []
<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\winnt\system32\kvdxcma.dll> []
6、还是SREng的注册表项,不过这个不能删除,编辑置空。
原值为:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxcma.dll> []
<AppInit_DLLs><kvdxcma.dll> []
选编辑,把kvdxcma.dll去掉后确定。
7、修改大话西游密码(如果有)。
8、开始-regedit,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU下的:
NoAutoUpdate和AUOptions键值。
还有:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
的EnableFirewall键。
方法二:
1、
[url]http://free.ys168.com/?gudugengkekao1[/url]
下载:
冰刃.rar 2,110KB
sreng2.5.zip 780KB
2、打开冰刃,设置禁止线程创建,确定。
3、冰刃“文件”选项,删除文件:
C:\Windows\Fonts\ardaase.fon 91 字节
C:\Windows\system32\kvdxacf.dll 52 字节
C:\Windows\system32\kvdxcis.exe 12767 字节
C:\Windows\system32\kvdxcma.dll 20048 字节
4、冰刃选项-“重启并监视”。
5、重启后打开SREng,删除:
注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\winnt\system32\kvdxcma.dll> []
<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\winnt\system32\kvdxcma.dll> []
6、还是SREng的注册表项,不过这个不能删除,编辑置空。
原值为:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kvdxcma.dll> []
<AppInit_DLLs><kvdxcma.dll> []
选编辑,把kvdxcma.dll去掉后确定。
7、修改大话西游密码(如果有)。
8、开始-regedit,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU下的:
NoAutoUpdate和AUOptions键值。
还有:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
的EnableFirewall键。
