kdxywg.exe loadwg.exe kgfghd.dll病毒手动清除-电脑软硬件应用网-国内最受关注的计算机应用解决中心

文件: kdxywg.exe

大小: 359372 字节

修改时间: 2008年7月23日, 17:17:32

MD5: 64AF0CEC9D2CF75770283034EB0C984C

SHA1: 83877B432A1CB4E105C18CB1E8EF386C884CA3F5

CRC32: 2B344324

在Temp\RarSFX0目录下释放loadwg.exe kdxywg.exe kdxywg.txt运行loadwg.exe并调用kdxywg.exe

kdxywg.exe试图删除C:\WINDOWS\system32\verclsid.exe

释放病毒文件：C:\windows\system32\kgfghd.dll

C:\windows\system32\tf0

注册表动作：注册表键： HKCR\CLSID\{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}\InProcServer32

注册表值：（默认）

类型: REG_SZ

值： C:\windows\system32\kgfghd.dll

添加挂钩：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}> <C:\windows\system32\kgfghd.dll>

通过

诱惑用户输入用户名密码病毒利用安装全局钩子kgfghd.dll WH_GETMESSAGE（监控发送到消息队列的消息）.WH_MOUSE（监控鼠标）.WH_KEYBOARD（监控击键）.得到用户的信息连接网络IP 地址： 210.51.52.186 最终盗取口袋西游用户密码

解决方案：使用360文件粉碎工具删除（可到down.45it.com下载）
C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\loadwg.exe

C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.exe

C:\Documents and Settings\user\Local Settings\Temp\RarSFX0\kdxywg.txt

C:\windows\system32\kgfghd.dll

在注册表中找到（开始菜单－运行－输入“regedit”进入注册表依次找到说明选项并按提示操作）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks删除<{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}>

最新热点		最新推荐		相关
				System.exe(HB*.dll)以及rpc… SVCHOST.EXE应用程序错误解决… 分析替换系统“rpcss.dll”文… 53u1ttMe.2ys、sys05020.dll… Worm.Win32.AutoRun.qvb(llw… Virus.Win32.VB.eu schedl.e… Worm.Win32.DownLoad.iz GR.… SiZhu.exe、HBKernel32.sys、… HBKernel32.sys,System.exe,… Trojan-Downloader.Win32.Sm…