評論(0

Trojan-PSW.Win32.Lmir.atv

標籤: 暫無標籤

該病毒屬木馬類。病毒運行后在系統盤創建相關文件,之後修改註冊表文件,添加到啟動項,達到隨系統啟動的目的。在任務管理器中顯示為WINLOGON.EXE進程,用戶名為機器名,偽裝系統進程winlogon.exe。該病毒對用戶有一定的危害。

1 Trojan-PSW.Win32.Lmir.atv -病毒簡介

病毒名稱: Trojan-PSW.Win32.Lmir.atv
病毒類型: 木馬類
文件 MD5:7351c8affecbd8a0ae644c7142c45c35
公開範圍: 完全公開
危害等級: 中
文件長度:90448 位元組
感染系統: windows98以上版本
命名對照:Symentec[無]
     Mcafee[無] 
病毒描述:
該病毒屬木馬類。病毒運行后在系統盤創建相關文件,之後修改註冊表文件,添加到啟動項,達到隨系統啟動的目的。在任務管理器中顯示為WINLOGON.EXE進程,用戶名為機器名,偽裝系統進程winlogon.exe。該病毒對用戶有一定的危害。 
行為分析:
1.病毒運行后在系統盤創建相關文件,之後修改註冊表文件。
2.病毒運行后創建如下文件:
%program Files%\common files
%program Files%\internet explorer
%windir%/debug
%system32%
%windir% iexplore.com
iexplore.com
debugprogram.exe
dxdiag.com
Finder.com
Msconfig.com
Regedit.com
Rundll32.com
Command.pif
1.com
exeroute.exe
explorer.com
finder.com
WINLOGON.EXE   
3.添加註冊表啟動,達到隨系統啟動的目的:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
鍵值:字串:「Torjan Program」= 「C:\WINDOWS\WINLOGON.EXE"
4.新建註冊表項:
HKEY_CURRENT_USER\Software\Microsoft
\Internet Explorer\Main\
新建鍵名:」Check_Associations」
新建鍵值:"No"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ShellNoRoam\MUICache\C:\Program Files\common~1\
新建鍵名:」iexplore.pif」
新建鍵值: "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\DefaultIcon\
新建鍵名:」默認「
新建鍵值: "%1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles\Shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winfiles
\Shell\Open\Command\
新建鍵名:」默認「
新建鍵值: "C:\WINDOWS\ExERoute.exe "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\LocalizedString
新建鍵名:」默認「
新建鍵值: "iexplore"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\command\
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
\iexplore.pif\shell\open\command\
新建鍵名:」默認」
新建鍵值: ""C:\Program Files\common~1\iexplore.pif""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
新建鍵名:Torjan Program
新建鍵值: "C:\WINDOWS\WINLOGON.EXE"
5.修改的註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bfc\shellnew
原鍵值:字串:Command」=」」%systemroot%\system32\rundll32.exe
%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
改鍵值:字串:Command」="%SystemRoot%\system32\rundll32.com
%SystemRoot%\system32\syncui.dll,Briefcase_Create %2!d! %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe
原鍵值:字串:」默認」="exefile"
改鍵值:字串:」默認」="winfiles"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk\ShellNew
原鍵值:字串:」Command」= "rundll32.exe appwiz.cpl,NewLinkHere %1"
改鍵值:字串:」Command」="rundll32.com appwiz.cpl,NewLinkHere %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications
\iexplore.exe\shell\open\command\
原鍵值:字串:」默認」 =""C:\Program Files
\Internet Explorer\iexplore.exe" %1"
改鍵值:字串:」默認」 =""C:\Program Files
\Internet Explorer\iexplore.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID \\shell\OpenHomePage\Command
原鍵值:字串:」默認」=""C:\Program Files\Internet Explorer
\iexplore.exe""
改鍵值:字串:"默認" =""C:\Program Files\Internet Explorer
\iexplore.com""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cplfile\shell\cplopen\command
原鍵值:字串:」默認」="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"
改鍵值:字串:"rundll32.com shell32.dll,Control_RunDLL "%1",%*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell\find\command
原鍵值:字串:」默認」="%SystemRoot%\explorer.exe"
改鍵值:字串:"默認"="%SystemRoot%\explorer.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dunfile\shell\open\command
原鍵值:字串:」默認」="%SystemRoot%\system32
\rundll32.exe netshell.dll,InvokeDunFile %1"
改鍵值:字串:"默認"="%SystemRoot%\system32
\rundll32.com NETSHELL.DLL,InvokeDunFile %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ftp\shell\open\command
原鍵值:字串:」默認」=""C:\Program Files
\Internet Explorer\iexplore.exe" %1"
改鍵值:字串:"默認"=""C:\Program Files
\Internet Explorer\iexplore.com" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command
原鍵值:字串:」默認」=""C:\Program Files
\Internet Explorer\iexplore.exe" -nohome"
改鍵值:字串:"默認"=""C:\Program Files
\Internet Explorer\iexplore.com" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\opennew\command
原鍵值:字串:」默認」=""C:\Program Files
\Internet Explorer\iexplore.exe" %1"
改鍵值:字串:"默認"=""C:\Program Files\common~1\iexplore.pif" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes
\htmlfile\shell\print\command
原鍵值:字串:」默認」="rundll32.exe %SystemRoot%
\system32\mshtml.dll,PrintHTML "%1""
改鍵值:字串:"默認"="rundll32.com %SystemRoot%
\system32\mshtml.dll,PrintHTML "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\open\command
原鍵值:字串:」默認」=""C:\Program Files
\Internet Explorer\iexplore.exe" -nohome"
改鍵值:字串:"默認"=""C:\Program Files\common~1\iexplore.pif" -nohome"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile
\shell\Install\command
原鍵值:字串:」默認」="%SystemRoot%\System32
\rundll32.exe setupapi,InstallHinfSection
DefaultInstall 132 %1"
改鍵值:字串:"默認"="%SystemRoot%\System32
\rundll32.com setupapi,InstallHinfSection
DefaultInstall 132 %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InternetShortcut
\shell\open\command
原鍵值:字串:」默認」="rundll32.exe shdocvw.dll,OpenURL %l"
改鍵值:字串:"默認"="finder.com shdocvw.dll,OpenURL %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\install\command
原鍵值:字串:」默認」="rundll32.exe desk.cpl,InstallScreenSaver %l"
改鍵值:字串:"默認"="finder.com desk.cpl,InstallScreenSaver %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scriptletfile\Shell\Generate
Typelib\command
原鍵值:字串:」默認」=""C:\WINDOWS\system32\RUNDLL32.EXE"
C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
改鍵值:字串:"默認"=""C:\WINDOWS\system32\finder.com"
C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\telnet\shell\open\command
原鍵值:字串:」默認」="rundll32.exe url.dll,TelnetProtocolHandler %l"
改鍵值:字串:"默認"="finder.com url.dll,TelnetProtocolHandler %l"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Unknown\shell\openas\command
原鍵值:字串:」默認」=%SystemRoot%\system32\rundll32.exe
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
改鍵值:字串:"默認"="%SystemRoot%\system32\finder.com
%SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
原鍵值:字串:」默認」="IEXPLORE.EXE"
改鍵值:字串:"默認"="iexplore.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
原鍵值:字串:」Shell」="Explorer.exe"
改鍵值:字串:」Shell」="Explorer.exe 1" 
  


2 Trojan-PSW.Win32.Lmir.atv -清除方案

1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應文件,恢復相關係統設置。
(1) 使用安天木馬防線「進程管理」關閉病毒進程
(2) 刪除病毒文件:
%program Files%\common files
%program Files%\internet explorer
%windir%/debug
%system32%
%windir% iexplore.com
iexplore.com
debugprogram.exe
dxdiag.com
Finder.com
Msconfig.com
Regedit.com
Rundll32.com
Command.pif
1.com
exeroute.exe
explorer.com
finder.com
WINLOGON.EXE   
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項。
(點擊下載修復註冊表文件)
註:%Program Files%是一個可變路徑。系統默認的安裝路徑是C:\Program Files。
  %windir%是一個可變路徑。系統默認的安裝路徑是Windows2000/NT中默認的安裝路徑是C:\Winnt,windows95/98/me/xp中默認的安裝路徑是C:\Windows。
  % System%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
上一篇[格拉德斯通]    下一篇 [未遑]

相關評論

同義詞:暫無同義詞