盗号木马Trash.OnlineGamesT.aq.2615解决清除方案

taong

Trash.OnlineGamesT.aq.2615
威胁级别:★☆☆☆☆
病毒类型:木马程序
病毒长度:12144
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为:

这是一个盗号木马程序。病毒运行后复制自身至NetMeeting文件夹，释放病毒文件，利用批处理删除自身，并创建注册表启动项以自启动。病毒注入进程，通过内存读写的方式盗取网络游戏"完美世界"、"武林外传"、"完美世界国际版"用户帐号、密码、密保等信息，发送至远程服务器。请广大玩家注意保管好自己的帐号密码

1.病毒运行后复制自身至
%programfiles%\NetMeeting\avpwl.exe（伪装成netmeeting的程序文件）
释放以下文件
%programfiles%\NetMeeting\avpwl.dat
%programfiles%\NetMeeting\avpwl.cfg
使用批处理删除自身

2.生成启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        avpwl        "%programfiles%\NetMeeting\avpwl.exe"

3.注入进程，通过内存读写的方式盗取网络游戏"完美世界"、"武林外传"、"完美世界国际版"用户帐号、密码、密保等信息，发送至远程服务器
hxxp://www.66ki.cn/huawl/mibao.asp?action=getpos&u=%s
hxxp://www.66ki.cn/huawl/mibao.asp?action=postmb&u=%s&mb=%s
hxxp://www.66ki.cn/huawl/lin.asp?s=%s&u=%s&p=%s&pin=%s&r=%s&l=%s&m=%s&mb=%d

解决办法：
1.删除以下三个文件，如果程序在运行中，可以使用金山清理专家的粉碎器完成删除操作。升级毒霸病毒库后，可以使用毒霸扫描磁盘，清除病毒。
%programfiles%\NetMeeting\avpwl.exe

%programfiles%\NetMeeting\avpwl.dat
%programfiles%\NetMeeting\avpwl.cfg

2.使用金山清理专家，在系统修复中，将病毒修改的启动项删除
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        avpwl        "%programfiles%\NetMeeting\avpwl.exe"