Trojan-PSW/Win32.OnLineGames.ygl这是什么？要这么样才能清除？

显示全部楼层 · 2008-5-12 17:16:00

这个病毒很简单啊装个瑞星，可以直接删除，我想你用的是国外软件吧，卡巴什么的杀他杀了2年也不会杀！

千问 · 2008-5-12 17:16:00

一、病毒标签：病毒名称： Trojan-PSW.Win32.OnLineGames.ygl病毒类型：木马公开范围：完全公开危害.等级： B文件长度： 15.0 KB (15,366 字节) 加壳类型： Upack 0.3.9 beta2s壳命名对照：江民杀毒
TrojanSpy.Delf.aud瑞星
Trojan.PSW.Win32.ZhengTu.yku金山毒霸
Win32.Troj.OnlineGames.yi.81920a-squared
Trojan-PSW.Win32.OnLineGames.yglAntiVir
TR/PSW.OnlineGames.ygl二、病毒描述：该病毒由其他下载者病毒下载，或者通过网页传播等途.径进行感染，注入进程，挂钩鼠标，键盘，系统信息等截取征途游戏.的敏感信息。三、行为分析修改注册表：增加启动项目HKEY_LOCAL_MACHINE\SOF.TWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks ""Type: REG_SZData: rsztcpm.dllHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"Old type: REG_SZNew type: REG_SZOld data: New data: rsztcpm.dll关闭系统自动升级HKEY_LOCAL_MACHINE\SOF.TWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"Type: REG_DWORDData: 01, 00, 00, 00HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"Type: REG_DWORDData: 01, 00, 00, 00关闭WINDOWS防火墙HKEY_LOCAL_MACHINE\SYSTEM\.ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"Type: REG_DWORDData: 00, 00, 00, 00释放文件：c:\WINDOWS\Fonts\gezeand.fonDate: 10-16-20.07 6:44 PMSize: 93 bytesc:\WINDOWS\system32\rsztafg.dllDate: 10-16-2007 6:44 PMSize: 53 bytesc:\WINDOWS\system32\rsztcpm.dllDate: 8-4-2004 6:44 PMSize: 23,122 bytesc:\WINDOWS\system32\rsztcsp.exeDate: 10-16-2007 6:42 PMSize: 15,366 bytes解决方案：—删除文件—c:\WINDOWS\Fonts.\gezeand.fonc:\WINDOWS\system32\rsztafg.dllc:\WINDOWS\system32\rsztcpm.dllc:\WINDOWS\system32\rsztcsp.exe—删除注册表—HKEY_LOCAL_MACHINE\SY.STEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile "EnableFirewall"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "AUOptions"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU "NoAutoUpdate"[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
{rsztcpm.dll}[][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
{logonui.exe}[(Verified)Microsoft Windows Publisher][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{}{C:\WINDOWS\system32\rsztcpm.dll}[]