Trojan-PSW.Win32.OnLineGames.kps

froggy

某人光荣的成为第一批小白鼠，最新的kps，13号才有记录。刚才在百度有一个5小时刚前发的求助，和我一样中招了

卡巴已查出，要求重启删除。重启后删除未果，仍旧提示。

安全模式不能进，选择就会重启，和上次中的AUTORUN一样的手法

现在我发现是一个盗号木马合集，清一色的ONLINGAME，都要重启后删掉

请问有什么办法吗？急等

[ 本帖最后由 froggy 于 2007-12-15 20:46 编辑 ]

【超超】

你可以找出这个病毒所感染的文件。查查是不是系统文件。如果是的话，先到其他电脑找到备份文件，然后放入任意文件夹，在文件被删除以后，替换进去

现在开始杀毒。

第一，进入安全模式。删除你所有被感染的病毒。

第二，进入注册表，先进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run找到里面和你之前病毒有关系的所有键值，然后删除。（在做这步前，先在正常情况下，进入此键值，如果你懂的话最好，自己看看有没有可疑文件名字，有的话上网查查具体是什么。如果不清楚，可以再等会的操作中把此键值删除）

第三，就是在注册表中在“编辑”中选上查找，然后把你中毒的文件名字输入，看看是不是在其他键值里面有残留。

然后再次尝试进入系统

magicx

楼主可否用sreng2上传个报告上来啊~？~

magicx

病毒名称： Trojan-PSW.Win32.OnLineGames.
病毒类型： 木马
感染系统： windows98以上版本
开发工具： Borland Delphi 5.0
加壳类型： 无

病毒描述：
　　 该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。

行为分析：
1、病毒运行后衍生病毒文件：
  C:WINDOWS\system32\dt.dll                          其中dt.dll由rundll32.exe释放
  C:WINDOWS\Microsoft\
rundll32.exe
  C:program files\internet explorer\use6.dll
  各个分区（除C盘以外）根目录下：Autorun.inf及mplay.com
  
2、修改C:WINDOWS\system32\drivers\etchosts，添加如下规则：
                     
                      HOSTS 文件
                      127.0.0.1      localhost
                      58.215.74.216    new3.etsoft.**.cn
                      58.215.74.216    www.gaodumm.**m
                      58.215.74.216    www.88cc8.**m
                      58.215.74.216    wg770.**m
  
3、修改注册表，添加启动项，以达到随机启动的目的：
  [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
    <Micro><C:WINDOWSMicrosoft
rundll32.exe>

  [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
    <main><rundll32.exe "C:program filesinternet exploreruse6.dll" mymain>

4、该病毒盗取用户敏感信息，包括网络游戏的账号与密码等：
    病毒文件Microsoft
rundll32.exe由自启动直接运行，处于系统进程列表；病毒文件use6.dll由系统rundll32.exe调用；病毒文件dt.dll注入系统所有进程。

[ 本帖最后由 magicx 于 2007-12-15 23:49 编辑 ]

magicx

以下方法仅供参考：
来源
http://baike.baidu.com/view/1163368.htm
清除方法:  
第一步.
F8,先进入安全模式,将上面WINDOWS文件夹内的cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe之类文件手动删除,把TEMP文件夹下的upxdnd.exe和upxdnd.dll文件手动删除,然后选择取消隐藏受保护文件,将C:下的SYS...之类包含ghook.dll和svchost.exe的2个文的文件夹删除;  （补充：不能进入的安全模式的话，就用unlocker删除它们）
第二步.
这里是关键,进入到C:/WINDOWS/SYSTEM32下,选择取消隐藏受保护文件,将文件按照修改时间顺序排列,查看最后的几个文件的属性,从最后一个往前查,如果创建时间为2008年或者更离谱的时间(我想这就是卡巴查不到的原因)...如果是EXE结尾的8位随机名称可执行文件,一般是2个,先把名字复制下来(一定要复制下来,不管贴在哪),然后.再删除,一直删到创建文件时间正常为止的那个文件,千万别删多了.否则你的系统多了些什么功能本人不负责.....-_-!!  字串3
第三步.
清理注册表  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Policies\Explorer\run]   
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\run]   
对应病毒名称的项删除
第四步
清除服务
还记得复制下来的文件名称吗,在控制面板-管理工具-服务里面.找到它们,禁止使用,然后开始-运行REGEDIT,搜索那文件名,然后删除