PE.PSWLmir.tc

病毒别名：

处理时间：

威胁级别：★

中文名称：地狱使者

病毒类型：未知

影响系统：Win9x / WinNT

病毒行为:

这是一个木马病毒,该病毒通过监视传奇客户端,记录用户的帐户和密码,通过邮件把记录的信息发送出去.该病毒会修改文件关联,使用户的损失加大.

1.生成以下文件:

%system%\\logonuit.exe

%system%\\windows.exe

%system%\\winl0gon.exe

2.修改注册表,使病毒开机运行:

HKLM\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon

Shell

Explorer.exe

Explorer.exe C:\\WINNT\\System32\\windows.exe

3.修改txt文件关联:

HKLM\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command

@中的串值改为

C:\\WINNT\\System32\\winl0gon.exe %1

HKCR\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command

@中的串值改为

C:\\WINNT\\System32\\winl0gon.exe %1

4.增加注册表项:

HKLM\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Runonece

windows update

%System%\\logonuit.exe

5.修改注册表:

HKLM\\SYSTEM\\ControlSet\\Services\\kmixer\\Enum\\Count

旧值： DWORD: 0 (0) 新值 : DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet\\Services\\kmixer\\Enum\\NextInstance

旧值： DWORD: 0 (0) 新值 : DWORD: 1 (0x1)

6.关闭以下程序:

Symantec AntiVirus 企业版

江民杀毒软件

KV2004

实时监视

RavMon.exe

RavMonClass

ZoneAlarm

ZAFrameWnd

天网防火墙个人版

天网防火墙企业版

密码防盗

绿鹰PC

Windows 任务管理器

RegEdit_RegEdit

注册表编辑器

系统配置实用程序

TKillqqv

QQ病毒专杀工具

腾讯QQ病毒

噬菌体

木马克星

Iparmor.exe

MAILMON.EXE

KAVPFW.EXE