Trojan-Downloader.Win32.Agent.jkb(SysWFGwd2.dll)病毒手动查杀

文件名称：SysWFGwd2.dll
文件大小：22711 byte
AV命名：
Trojan-Downloader.Win32.Agent.jkb  卡巴斯基
Trojan.DownLoader.origin  Dr.WEB
Trojan.PSW.Win32.GameOL.mbm  瑞星
加壳方式：Upack
 
编写语言：Delphi
 
文件MD5：0fc2f3525537c2bc7a2c88fbc25706ec
 
病毒类型：木马

行为：

1、释放病毒文件：

C:\Program Files\Common Files\Microsoft Shared\MSInfo\SysWFGwd2.dll, 29733 字节

2、未见添加启动项。

3、连接网络222.172.81.30，获得下载列表：hxxp://qq.90356.com.cn/22/dl.txt

下载：

http://qq.90356.com.cn/22/hxxxz.exe

http://74.5460w.cn/yx/11.exe

http://74.5460w.cn/yx/12.exe

http://74.5460w.cn/yx/13.exe

http://74.5460w.cn/yx/14.exe

http://74.5460w.cn/yx/15.exe

http://74.5460w.cn/yx/16.exe

http://74.5460w.cn/yx/17.exe

http://74.5460w.cn/yx/18.exe

http://74.5460w.cn/yx/19.exe

http://74.5460w.cn/yx/20.exe

http://74.5460w.cn/yx/21.exe

http://74.5460w.cn/yx/22.exe

http://74.5460w.cn/yx/23.exe

测试时未实现

5、注入Explorer,查找一些网游登入窗口和进程并注入。以读取内存方式记录密码帐号。

6、硬编码方式查找卡吧：

:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

和____AVP.Root和AVP.Tray的窗口。

如果找到了就修改系统时间。

7、添加注册表：

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

延迟删除VerCLSID.exe和VerCLSID.bak

8、释放P处理xr.bat删除原载体。

解决方法：

1、下载Unlocker并安装(可到www.pc51.net下载)

2、转到C:\Program Files\Common Files\Microsoft Shared\MSInfo

右键解锁SysWFGwd2.dll

3、删除SysWFGwd2.dl。

4、修改QQ、网游等密码。

技术无忧.com