首页 网页制作网络编程脚本专栏数据库网站运营网络安全平面设计CMS教程

inst.exe,Setup.exe木马Trojan-PSW.Win32.Magania.cjy解决方法

所属分类: 实用技巧 / 病毒查杀 阅读数: 832
收藏 0 赞 0 分享
木马Trojan-PSW.Win32.Magania.cjy
inst.exe,Setup.exe
Backdoor/Agent.apnf 
病毒名称: Trojan-PSW.Win32.Magania.cjy
病毒类型: 木马
江民杀毒 10.00.650  Backdoor/Agent.apnf 1.395
NOD32 2.70.10  a variant of Win32/PSW.OnLineGames.NFF trojan 4.185

该病毒为玛格尼亚病毒的新变种,释放一个DLL通过挂钩和内存截获来盗取网络游戏的帐号密码。运行之后将释放一些AV图片并打开,再释放病毒到Program Files与WINDOWS\Help目录下。


 行为分析
运行以后释放文件:
 c:\Program Files\inst.exe
  Date: 11-29-2007 11:00 PM
  Size: 103,163 bytes
 c:\Program Files\inst.txt
  Date: 11-29-2007 10:44 PM
  Size: 0 bytes
 c:\Program Files\Setup.exe
  Date: 12-28-2007 2:41 PM
  Size: 76,388 bytes
 c:\Program Files\MyPic\2006924192650605.jpg
  Date: 7-19-2007 6:28 AM
  Size: 7,613 bytes
 c:\Program Files\MyPic\2006924192732323.jpg
  Date: 7-19-2007 6:28 AM
  Size: 7,649 bytes
 c:\Program Files\MyPic\2006924192810432.jpg
  Date: 7-19-2007 6:28 AM
  Size: 7,598 bytes
 c:\Program Files\MyPic\2006924192810821.jpg
  Date: 7-19-2007 6:28 AM
  Size: 13,258 bytes
 c:\Program Files\MyPic\2006924192810918.jpg
  Date: 7-19-2007 6:28 AM
  Size: 7,702 bytes
 c:\WINDOWS\1.bat
  Date: 1-4-2008 1:06 PM
  Size: 96 bytes
 c:\WINDOWS\Help\F3C74E3FA248.dll
  Date: 1-4-2003 1:06 PM
  Size: 60,928 bytes
 c:\WINDOWS\Help\F3C74E3FA248.exe
  Date: 12-28-2007 2:41 PM
  Size: 76,388 bytes
图片均为AV图片。


释放问后运行
c:\WINDOWS\Help\F3C74E3FA248.dll
c:\WINDOWS\Help\F3C74E3FA248.exe
盗取游戏帐号密码。


建立服务进行开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ShellExecuteHooks "{1DBD6574-D6D0-4782-94C3-69619E719765}"
  Type: REG_SZ
  Data: c:\WINDOWS\Help\F3C74E3FA248.dll


解决方案:
删除文件:
 c:\Program Files\inst.exe
 c:\Program Files\inst.txt
 c:\Program Files\Setup.exe
 c:\Program Files\MyPic\2006924192650605.jpg
 c:\Program Files\MyPic\2006924192732323.jpg
 c:\Program Files\MyPic\2006924192810432.jpg
 c:\Program Files\MyPic\2006924192810821.jpg
 c:\Program Files\MyPic\2006924192810918.jpg
 c:\WINDOWS\1.bat
 c:\WINDOWS\Help\F3C74E3FA248.dll
 c:\WINDOWS\Help\F3C74E3FA248.exe

删除注册表服务启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\ShellExecuteHooks\{1DBD6574-D6D0-4782-94C3-69619E719765}
更多精彩内容其他人还在看

详解runassrv.exe是什么文件与到底应不应该删除

详解runassrv.exe是什么文件与到底应不应该删除
收藏 0 赞 0 分享

利用tasklist与taskkill实现AV终结者新变种(随机7位字母病毒)的删除方法 原创第1/2页

利用tasklist与taskkill实现AV终结者新变种(随机7位字母病毒)的删除方法 原创
收藏 0 赞 0 分享

最新收集的卡巴更新服务器列表(含IP地址)

最新收集的卡巴更新服务器列表(含IP地址)
收藏 0 赞 0 分享

发现SoundMan.exe病毒附删除方法

发现SoundMan.exe病毒附删除方法
收藏 0 赞 0 分享

IE突然发现后退不了

IE突然发现后退不了
收藏 0 赞 0 分享

rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法

rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法
收藏 0 赞 0 分享

替换ctfmon.exe的下载器window.exe的方法

替换ctfmon.exe的下载器window.exe的方法
收藏 0 赞 0 分享

木马下载器Win32.TrojDownloader.Delf.114688

木马下载器Win32.TrojDownloader.Delf.114688
收藏 0 赞 0 分享

毒霸官方“AV终结者/8749” 木马专杀工具

毒霸官方“AV终结者/8749” 木马专杀工具
收藏 0 赞 0 分享

遭遇www.investpoll.net病毒附手动删除方法

遭遇www.investpoll.net病毒附手动删除方法
收藏 0 赞 0 分享
查看更多

网络赚钱

更多

站长故事

更多
建站极客
合作伙伴
在线工具
建站极客移动版
聚合全网技术文章,根据你的阅读喜好进行个性推荐
© 2012 - 2020 zhanzhang360.cn Some Rights Reserved.
沪ICP备13040166号-22