如何解决LYLOADER.EXE LYMANGR.DLL MSDEG32.DLL病毒?
病毒名称:Trojan-PSW.Win32.OnLineGames.nn(Kaspersky)
病毒别名:Trojan.PSW.Win32.XYOnline.ah(瑞星), Trojan.PSW.Win32.OnlineGames.cwz(瑞星)
Win32.Troj.OnlineGames.nn.94208(毒霸)
病毒大小:16,384 字节
加壳方式:
样本MD5:6a8691aec2bb2537cbdc718bd53b1fbf
样本SHA1:99f3f161e0077d5bcefe9582007666b7d543ce84
发现时间:2007.6
更新时间:2007.7.3
关联病毒:
传播方式:通过恶意网站传播,其它木马下载
技术分析
==========
木马运行后释放另一个exe到临时目录,并将其运行:
%temp%LYLOADER.EXE
释放两个dll文件注入进程:
%temp%LYMANGR.DLL
%temp%MSDEG32.DLL
同事复制到系统目录下:
%system%LYLOADER.EXE
%system%LYMANGR.DLL
%system%MSDEG32.DLL
创建启动项:
"MSDEG32"="LYLoader.exe"
"MSDWG32"="LYLoadbr.exe"
"MSDCG32 "="LYLeador.exe"
"MSDOG32"="LYLoador.exe"
"MSDSG32"="LYLoadar.exe"
"MSDMG32"="LYLoadmr.exe"
"MSDHG32"="LYLoadhr.exe"
"MSDQG32"="LYLoadqr.exe"
清除步骤
==========
1. 删除启动项(开始菜单-运行-输入“regedit”依次打开以下项,然后删除即可):
"MSDEG32"="LYLoader.exe"
"MSDWG32"="LYLoadbr.exe"
"MSDCG32 "="LYLeador.exe"
"MSDOG32"="LYLoador.exe"
"MSDSG32"="LYLoadar.exe"
"MSDMG32"="LYLoadmr.exe"
"MSDHG32"="LYLoadhr.exe"
"MSDQG32"="LYLoadqr.exe"
2. 重新启动计算机
3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%temp%LYLOADER.EXE
%temp%LYMANGR.DLL
%temp%MSDEG32.DLL
%system%LYLOADER.EXE
%system%LYMANGR.DLL
%system%MSDEG32.DLL
本文地址:http://www.45fan.com/dnjc/21077.html