病毒名称:
Win32.Troj.Lmir.fe
类别: 木马病毒
病毒资料:
这是个盗传奇帐号的木马!
1、将自身复制到 %system%\winmer.exe,并执行该复制体。
2、添加如下注册表项来自启动:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\EXPlorer\Run\KernelCheck "%system%\winmer.exe..."
3、设置关机脚本 %system%\GroupPolicy\Machine\Scripts\scripts.ini 。
4、创建配置文件 %Windows%\vbarun.dll 。
5、尝试关闭以下安全软件窗口:
Jiangmin Registry Monitor Ex
KVXP_Monitor
木马防火墙
6、尝试关闭以下安全软件进程:
assistse.exe, kregex.exe, trojdie.kxp, kvsrvxp.exe, kvmonxp.kxp, frogagent.exe, kvxp.kxp, ccenter.exe, ravmond.exe, ravmon.exe, rfwmain.exe, rfwsrv.exe, kpfwsvc.exe, kavpfw.exe, kavstart.exe, kmailmon.exe, kwatch.exe, avp.exe, kav.exe, kavsvc.exe, rtvscan.exe,ccsetmgr.exe, defwatch.exe, ccevtmgr.exe, ccapp.exe, mcshield.exe, mcvsescn.exe, mcdetect.exe, mcmnhdlr.exe, trojanwall.exe,fygtcleaner.exe, mantispm.exe, vsmon.exe, isafe.exe, zlclient.exe, pcclient.exe, pcctlcom.exe, tmpfw.exe, tmntsrv.exe, tmproxy.exe, pccguide.exe, iparmor.exe, xfilter.exe, filmsg.exe, avengine.exe, pavsrv51.exe, psimsvc.exe, pavprsrv.exe, tpsrv.exe, pavprsrv.exe, apvxdwin.exe, srvload.exe, webproxy.exe
7、尝试删除以下安全软件服务:
KVSrvXP, KVWSC, KWatchSvc, KPfwSvc, AVP, kavsvc, RsCCenter, McTskshd.exe, McDetect.exe, CAISafe, vsmon, Tmntsrv, PcCtlCom, TmPfw, tmproxy, pmshellsrv, PAVSRV, PAVFNSVR, PSIMSVC, PNMSRV, PavPrSrv, TPSrv
8、下载文件 http://www.372***.com/nc.gif 到本地临时文件并执行。
9、将盗获的帐号信息发送到网站:http://www.372***.com/work/login.ASP
10、自删除。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2006-9-10