Trojan-PSW.Win32.OnLineGames.es专杀工具

漫步白月光

如题  看到求助区有几个人中了这个删除不掉
所以发个专杀工具

不会游泳的渔

偶中了，也用了。MS重启后卡巴还是叫个不停

漫步白月光

一、 病毒标签：

病毒名称： Trojan-PSW.Win32.OnLineGames.es

病毒类型： 木马

文件 MD5： 0480FD27321B635DAD41FCBDCF63FCB2

公开范围： 完全公开

危害等级： 4

文件长度： 14,336 字节

感染系统： windows98以上版本

开发工具： Microsoft Visual C++ 6.0

加壳类型： 无

命名对照：  驱逐舰[Trojan.MulDrop.5399]

AVG [Trojan.OnLineGames.es]



二、 病毒描述：

该病毒为木马类，病毒运行后衍生病毒文件到临时目录%Temp%下，并删除自身，修改注册表，添加启动项，以达到随机启动的目的。该病毒可以跳过瑞星注册表监控，直接修改注册表。终止反病毒软件瑞星、卡巴斯基，以降低系统的安全性能。



三、 行为分析：

1、病毒运行后衍生病毒文件到临时目录%Temp%下，并删除自身：

%Temp%\upxdn.dll

%Temp%\upxdn.exe



2、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值: 字串: "upxdn"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\upxdn.exe"



3、该病毒可以跳过瑞星注册表监控，直接修改注册表。



4、终止反病毒软件瑞星、卡巴斯基，以降低系统的安全性能：

"AVP.AlertDialog"

"AVP.Product_Notification"



注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\ Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

四、 清除方案：

       1、使用安天木马防线可彻底清除此病毒(推荐)。专杀也可以

       2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

        (1) 使用安天木马防线“进程管理”关闭病毒进程

        (2) 删除病毒文件

%Temp%\upxdn.dll

%Temp%\upxdn.exe

        (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值: 字串: "upxdn"="C:\DOCUME~1\COMMAN~1\LOCALS~1\Temp\upxdn.exe"
       至于这个病毒会不会影响你开Q 我想应该不会

carlrain

是啊。卡巴杀完之后，貌似重启后又有了。每次打开住页都有2个广告页面，气死人了