一个打着外挂旗号的盗号木马 bbs.ikaka.com

cc930415 - 2009-1-15 17:13:00

朋友给我的文件,说是DNF外挂打开后,会在system32下创建wly.exe/qq.exe并运行（删除后重起电脑又出现），结束进程后还会出现（除非在几秒内结束这2个进程）
已经确定是盗号木马
请将处理方法给我我,谢谢！
文件太大,给个连接(是木马,杀毒显示没有病毒)
http://61.dc.ftn.qq.com/ftn_handler/a94f33daa2f0631fc4ffad13013eb3cd198354d6c611f9a6fd58437fac82f3d629bddfed28932ba8919deac52b94e4c090d159aba4aa300865a3aeb5834f0d0f/dnf-zf.rar?k=0e333466d586e6c83d02da761132031853575604025702031d0b5654511f0501530619040001571a070a0d515202540305010403373831535e55191c511c43564233
(提取码 034f7217)

RisingCSC - 2009-1-15 17:24:00

您好，请给出提取码。

晕４ - 2009-1-15 18:34:00

文件创建：

附件: 您所在的用户组无法下载或查看附件

注册表的改动：

附件: 您所在的用户组无法下载或查看附件

RisingCSC - 2009-1-16 9:17:00

您所上报的文件已经收集，有结果会给您回复。

rstgl - 2009-1-16 9:35:00

在主动防御应用程序控制中，添加*，添加文件规则，将可疑文件所在目录添加进去，勾选创建放过。删除可疑文件，通过历史记录观察是哪个程序创建的可疑文件。再将创建可疑文件的程序和可疑文件一起删除。

RisingCSC - 2009-1-20 17:25:00

1、文件名：DNF-ZS.exe

病毒名：Trojan.PSW.Win32.GameOL.ucb

2、文件名：dnf.dll
不是病毒

3、文件名：wly.dll
不是病毒

4、文件名：config.dat
不是病毒

您所上报的病毒文件将在瑞星2009的21.13.20版本中处理解
决，如遇特殊情况可能会推后几个版本。

瑞星卡卡安全论坛