-=-=-Anti-Virus Fans 一切为了安全-=-=-

返回主页 | 在线帮助 | 留言本

序号	ID	瑞星命名	江民命名	金山命名	Kaspersky命名	报告日期	点击查看
1	118	worm.pabug.co	trojan/psw.agent.cdg	win32.troj.pswqq.jh.38498	trojan-psw.win32.qqpass.jh	2008-08-31	查看
2	117	worm.win32.agent.zhh	worm/delf.ny	win32.trojdownloader.agent.57856	worm.win32.autorun.bkv	2008-01-08	查看
3	116	trojan.psw.win32.gamesonline.fe	trojan/psw.onlinegames.pli	win32.troj.onlinegames.xz.17069	trojan-psw.win32.onlinegames.mzj	2008-01-08	查看
4	115	trojan.psw.win32.gameol.ldn	trojan/psw.onlinegames.mdu	win32.troj.onlinegames.sz.19477	trojan-psw.win32.onlinegames.neb	2008-01-08	查看
5	114	trojan.psw.win32.gameol.ibc	trojan/psw.onlinegames.pkp	win32.troj.onlinegeames.mu.16767	trojan-psw.win32.onlinegames.mux	2008-01-08	查看
6	113	trojan.psw.win32.gameol.lcx	trojan/psw.onlinegames.psn	2008年1月8日未知	trojan-psw.win32.onlinegames.ndn	2008-01-08	查看
7	112	trojan.psw.win32.gameol.lch	trojan/psw.onlinegames.mdu	2008年1月8日未知	trojan-psw.win32.onlinegames.nbm	2008-01-08	查看
8	111	trojan.psw.win32.qqhx.tvd	trojan/psw.onlinegames.plp	win32.troj.onlinegames.sx.16651	trojan-psw.win32.onlinegames.mxb	2008-01-08	查看
9	110	trojan.psw.win32.gameol.lcx	trojanspy.agent.dag	2008年1月8日未知	trojan-psw.win32.onlinegames.ndy	2008-01-08	查看
10	109	2008年1月8日未知报可疑	trojan/psw.onlinegames.pma	win32.troj.onlinegames.sv.17914	trojan-psw.win32.onlinegames.mwj	2008-01-08	查看

共有 118条记录共有 12 页当前是 1 页第一页上一页下一页最后一页　跳到第页

trojan-psw.win32.qqpass.jh

中文名称：帕虫变种	病毒类型：特洛伊木马	病毒长度：38518	加入时间：2008-08-31
CRC32值：cc11f3d8		MD5值：f649194c59ae2a5a3f2ad11f9559e0f8
kaspersky 命名：trojan-psw.win32.qqpass.jh		瑞星命名：worm.pabug.co
江民命名：trojan/psw.agent.cdg		金山命名：win32.troj.pswqq.jh.38498
其他命名：mcafee:generic.dx,panda:trj/qqpass.ri
TAG关键字：severe.exe,kmawii.exe,conime.exe
备注：		资料来源：看彩虹的人
病毒行为及清除办法： 1、文件运行后会释放以下文件 %System32%\severe.exe 38,518 字节 %System32%\kmawii.exe 38,518 字节 %System32%\kmawii.dll 38,400 字节 c%System32%\drivers\qxctrt.exe 38,518 字节 %System32%\drivers\etc\hosts 1,465 字节 %System32%\drivers\conime.exe 38,518 字节 2、新增注册表添加自启动项： [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 注册表值： qxctrt 类型: REG_SZ 值： C:\WINDOWS\system32\kmawii.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 键值: 字符串: "C:\WINDOWS\system32\severe.exe" 注册表值： severe.exe 类型: REG_SZ 值： "C:\WINDOWS\system32\severe.exe" 添加映像劫持文件 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe\] 注册表值：Debugger 类型： REG_SZ 值： "C:\WINDOWS\system32\drivers\qxctrt.exe 以下均是被映像劫持的文件 adam.exe avp.com avp.exe EGHOST.exe IceSword.exe iparmo.exe kabaload.exe KRegEx.exe KvDetect.exe KVMonXP.kxp KvXP.kxp MagicSet.exe mmsk.exe msconfig.com msconfig.exe NOD32.exe PFW.exe PFWLiveUpdate.exe QQDoctor.exe Ras.exe Rav.exe RavMon.exe regedit.com regedit.exe runiep.exe SREng.EXE TrojDie.kxp WoptiClean.exe 3、在进程中添加进程kmawii.exe severe.exe conime.exe，用来加载病毒DLL来监控鼠标击键。修改%System32%\drivers\ect\hosts文件中的内容，用来屏蔽杀毒软件厂商的网站。文件属性设置为隐藏，释放病毒文件hx1.bat修改文件创建时间，修改完后删除自身。注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。 %Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量 %Windir%\ WINDODWS所在目录 %DriveLetter%\ 逻辑驱动器根目录 %ProgramFiles%\ 系统程序默认安装目录 %HomeDrive% = C:\ 当前启动的系统的所在分区 %Documents and Settings%\ 当前用户文档根目录病毒清除：（1）结束进程（注：以下进程同时结束） %System32%\severe.exe %System32%\kmawii.exe %System32%\drivers\conime.exe （2）用工具IceSword删除注册表项删除自启动项： [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 注册表值： qxctrt 类型: REG_SZ 值： C:\WINDOWS\system32\kmawii.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 键值: 字符串: "C:\WINDOWS\system32\severe.exe" 注册表值： severe.exe 类型: REG_SZ 值： "C:\WINDOWS\system32\severe.exe" 删除以下被映像劫持文件中的“注册表值：Debugger”项 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe\] 注册表值：Debugger 类型： REG_SZ 值： "C:\WINDOWS\system32\drivers\qxctrt.exe 被映像劫持的文件列表见上（3）恢复%System32%\drivers\etc\hosts文件中的内容。

截止目前共有6736人访问过此页面

我们希望有时间、有能力的朋友能加入检索系统的建设中来，我们也希望这套系统能帮助更多的人，如需加入请发送邮件到antivirusfans@126.com。