Trojan-PSW.Win32.Lmir.atv

王朝百科·作者佚名  2010-02-19  
宽屏版  字体: |||超大  

病毒名称: Trojan-PSW.Win32.Lmir.atv

病毒类型: 木马类

文件 MD5:7351c8affecbd8a0ae644c7142c45c35

公开范围: 完全公开

危害等级: 中

文件长度:90448 字节

感染系统: windows98以上版本

命名对照:Symentec[无]

Mcafee[无]

病毒描述:

该病毒属木马类。病毒运行后在系统盘创建相关文件,之后修改注册表文件,添加到启动项,达到随系统启动的目的。在任务管理器中显示为WINLOGON.EXE进程,用户名为机器名,伪装系统进程winlogon.exe。该病毒对用户有一定的危害。

行为分析:

1.病毒运行后在系统盘创建相关文件,之后修改注册表文件。

2.病毒运行后创建如下文件:

%program Files%common files

%program Files%internet explorer

%windir%/debug

%system32%

%windir% iexplore.com

iexplore.com

debugprogram.exe

dxdiag.com

Finder.com

Msconfig.com

Regedit.com

Rundll32.com

Command.pif

1.com

exeroute.exe

explorer.com

finder.com

WINLOGON.EXE

3.添加注册表启动,达到随系统启动的目的:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

键值:字串:“Torjan Program”= “C:WINDOWSWINLOGON.EXE"

4.新建注册表项:

HKEY_CURRENT_USERSoftwareMicrosoft

Internet ExplorerMain

新建键名:”Check_Associations”

新建键值:"No"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

ShellNoRoamMUICacheC:Program Filescommon~1

新建键名:”iexplore.pif”

新建键值: "iexplore"

HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles

HKEY_LOCAL_MACHINESOFTWAREClasseswinfilesDefaultIcon

HKEY_LOCAL_MACHINESOFTWAREClasseswinfilesDefaultIcon

新建键名:”默认“

新建键值: "%1"

HKEY_LOCAL_MACHINESOFTWAREClasseswinfilesShell

HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles

ShellOpen

HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles

ShellOpenCommand

HKEY_LOCAL_MACHINESOFTWAREClasseswinfiles

ShellOpenCommand

新建键名:”默认“

新建键值: "C:WINDOWSExERoute.exe "%1" %*"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

iexplore.pif

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

iexplore.pifLocalizedString

新建键名:”默认“

新建键值: "iexplore"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

iexplore.pifshell

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

iexplore.pifshellopen

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

iexplore.pifshellopencommand

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

iexplore.pifshellopencommand

新建键名:”默认”

新建键值: ""C:Program Filescommon~1iexplore.pif""

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

新建键名:Torjan Program

新建键值: "C:WINDOWSWINLOGON.EXE"

5.修改的注册表:

HKEY_LOCAL_MACHINESOFTWAREClasses.bfcShellNew

原键值:字串:Command”=””%SystemRoot%system32

undll32.exe

%SystemRoot%system32syncui.dll,Briefcase_Create %2!d! %1"

改键值:字串:Command”="%SystemRoot%system32

undll32.com

%SystemRoot%system32syncui.dll,Briefcase_Create %2!d! %1"

HKEY_LOCAL_MACHINESOFTWAREClasses.exe

原键值:字串:”默认”="exefile"

改键值:字串:”默认”="winfiles"

HKEY_LOCAL_MACHINESOFTWAREClasses.lnkShellNew

原键值:字串:”Command”= "rundll32.exe appwiz.cpl,NewLinkHere %1"

改键值:字串:”Command”="rundll32.com appwiz.cpl,NewLinkHere %1"

HKEY_LOCAL_MACHINESOFTWAREClassesApplications

iexplore.exeshellopencommand

原键值:字串:”默认” =""C:Program Files

Internet Exploreriexplore.exe" %1"

改键值:字串:”默认” =""C:Program Files

Internet Exploreriexplore.com" %1"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID {871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand

原键值:字串:”默认”=""C:Program FilesInternet Explorer

iexplore.exe""

改键值:字串:"默认" =""C:Program FilesInternet Explorer

iexplore.com""

HKEY_LOCAL_MACHINESOFTWAREClassescplfileshellcplopencommand

原键值:字串:”默认”="rundll32.exe shell32.dll,Control_RunDLL "%1",%*"

改键值:字串:"rundll32.com shell32.dll,Control_RunDLL "%1",%*"

HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellfindcommand

原键值:字串:”默认”="%SystemRoot%explorer.exe"

改键值:字串:"默认"="%SystemRoot%explorer.com"

HKEY_LOCAL_MACHINESOFTWAREClassesdunfileshellopencommand

原键值:字串:”默认”="%SystemRoot%system32

undll32.exe NETSHELL.DLL,InvokeDunFile %1"

改键值:字串:"默认"="%SystemRoot%system32

undll32.com NETSHELL.DLL,InvokeDunFile %1"

HKEY_LOCAL_MACHINESOFTWAREClassesftpshellopencommand

原键值:字串:”默认”=""C:Program Files

Internet Exploreriexplore.exe" %1"

改键值:字串:"默认"=""C:Program Files

Internet Exploreriexplore.com" %1"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellopencommand

原键值:字串:”默认”=""C:Program Files

Internet Exploreriexplore.exe" -nohome"

改键值:字串:"默认"=""C:Program Files

Internet Exploreriexplore.com" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClasseshtmlfileshellopennewcommand

原键值:字串:”默认”=""C:Program Files

Internet Exploreriexplore.exe" %1"

改键值:字串:"默认"=""C:Program Filescommon~1iexplore.pif" %1"

HKEY_LOCAL_MACHINESOFTWAREClasses

htmlfileshellprintcommand

原键值:字串:”默认”="rundll32.exe %SystemRoot%

system32mshtml.dll,PrintHTML "%1""

改键值:字串:"默认"="rundll32.com %SystemRoot%

system32mshtml.dll,PrintHTML "%1""

HKEY_LOCAL_MACHINESOFTWAREClassesHTTPshellopencommand

原键值:字串:”默认”=""C:Program Files

Internet Exploreriexplore.exe" -nohome"

改键值:字串:"默认"=""C:Program Filescommon~1iexplore.pif" -nohome"

HKEY_LOCAL_MACHINESOFTWAREClassesinffile

shellInstallcommand

原键值:字串:”默认”="%SystemRoot%System32

undll32.exe setupapi,InstallHinfSection

DefaultInstall 132 %1"

改键值:字串:"默认"="%SystemRoot%System32

undll32.com setupapi,InstallHinfSection

DefaultInstall 132 %1"

HKEY_LOCAL_MACHINESOFTWAREClassesInternetShortcut

shellopencommand

原键值:字串:”默认”="rundll32.exe shdocvw.dll,OpenURL %l"

改键值:字串:"默认"="finder.com shdocvw.dll,OpenURL %l"

HKEY_LOCAL_MACHINESOFTWAREClassesscrfileshellinstallcommand

原键值:字串:”默认”="rundll32.exe desk.cpl,InstallScreenSaver %l"

改键值:字串:"默认"="finder.com desk.cpl,InstallScreenSaver %l"

HKEY_LOCAL_MACHINESOFTWAREClassesscriptletfileShellGenerate

Typelibcommand

原键值:字串:”默认”=""C:WINDOWSsystem32RUNDLL32.EXE"

C:WINDOWSsystem32scrobj.dll,GenerateTypeLib "%1""

改键值:字串:"默认"=""C:WINDOWSsystem32finder.com"

C:WINDOWSsystem32scrobj.dll,GenerateTypeLib "%1""

HKEY_LOCAL_MACHINESOFTWAREClasseselnetshellopencommand

原键值:字串:”默认”="rundll32.exe url.dll,TelnetProtocolHandler %l"

改键值:字串:"默认"="finder.com url.dll,TelnetProtocolHandler %l"

HKEY_LOCAL_MACHINESOFTWAREClassesUnknownshellopenascommand

原键值:字串:”默认”=%SystemRoot%system32

undll32.exe

%SystemRoot%system32shell32.dll,OpenAs_RunDLL %1"

改键值:字串:"默认"="%SystemRoot%system32finder.com

%SystemRoot%system32shell32.dll,OpenAs_RunDLL %1"

HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet

原键值:字串:”默认”="IEXPLORE.EXE"

改键值:字串:"默认"="iexplore.pif"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionWinlogon

原键值:字串:”Shell”="Explorer.exe"

改键值:字串:”Shell”="Explorer.exe 1"

--------------------------------------------------------------------------------

清除方案:

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件:

%program Files%common files

%program Files%internet explorer

%windir%/debug

%system32%

%windir% iexplore.com

iexplore.com

debugprogram.exe

dxdiag.com

Finder.com

Msconfig.com

Regedit.com

Rundll32.com

Command.pif

1.com

exeroute.exe

explorer.com

finder.com

WINLOGON.EXE

(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项。

(点击下载修复注册表文件)

注:%Program Files%是一个可变路径。系统默认的安装路径是C:Program Files。

%windir%是一个可变路径。系统默认的安装路径是Windows2000/NT中默认的安装路径是C:Winnt,windows95/98/me/xp中默认的安装路径是C:Windows。

% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有