• 特洛伊木马。PWS。OnlineGames的。KBVT卸妆是一个简单的命令行工具,旨在帮助你摆脱病毒感染在任何时间。

    这是另一个onlinegames密码偷窃的。 当第一次运行该软件将执行下列行动:

    -做一个隐藏的副本本身在%的系统%下的文件夹olhrwef.exe 并创建以下注册的关键

    HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionrun

    名称:cdoosoft

    价值:"%System%olhrwef.exe

    为了使这种复制运行每一系统启动

    -下一个隐藏的。dll文件命名为nmdfgds0.dll 或nmdfgds1.dll 在%的系统%的文件夹-这是件负责的密码盗窃。 它将被注射在所有运行的进程,并将监测老鼠的手势和按键。 一些有针对性的在线游戏是:冒险,年龄柯南,Rohan,指环王,骑士网络、土地亚丁湾和其他人。

    -创建一个隐藏的自动运行的。inf文件中对每一个驱动器这点到一个隐藏的恶意软件的副本中发现%drive_letter%1ogf.exe 用来传播本身的通过移动硬盘

    -下一个驱动程序的文件,名为klif.sys 在%的dirvers%的文件夹和创建以下注册的关键,以便为这个驱动器被装入作为一个服务在每一个系统启动

    HKEY_LOCAL_MACHINESoftwareCurrentcontrolsetserviceskavsys

    类型:0x1

    ErrorControl:0x1

    开始:0x1

    ImagePath:%drivers%klif.sys

    这个驱动程序的文件,随着另一个。dll文件命名为ANTIVM.dll将被用于禁止更新不同的防病毒软件或停止的进程,可以用来监测正在运行的程序的行为(为了使分析更多的困难)。

    -它还会添加以下的修改登记册的设置

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall

    CheckedValue=0x00000000

    因此,用户不能够看到隐藏的文件和文件夹在资源管理器,同时浏览该文件的系统。

    -它会载于下列文件http://[删除]uw2..com/xmfx/help1.rar 并将其保存在%的临时%的文件夹(当这一说明作出该文件并不提供了)

  • Trojan है । PWS.OnlineGames.KBVT पदच्युत है एक सरल कमांड लाइन उपकरण के डिजाइन में मदद करने के लिए आप से छुटकारा पाने के वायरस के संक्रमण के लिए कोई समय में है ।

    यह एक onlinegames पासवर्ड चोर है । जब पहली बार चलाने के लिए मैलवेयर जाएगा निम्नलिखित कार्यों प्रदर्शन:

    - कर की नकल में खुद %प्रणाली% के तहत फ़ोल्डर olhrwef.exe और निम्न रजिस्ट्री कुंजी बनाएँ

    HKEY_CURRENT_USERSoftwareMicrosoftwindowscurrentversionrun

    नाम: cdoosoft

    मूल्य: "%System%olhrwef.exe

    के लिए आदेश में यह कॉपी किया जा करने के लिए पर चलाने के लिए हर प्रणाली स्टार्टअप

    - ड्रॉप । dll फ़ाइल का नाम nmdfgds0.dll या nmdfgds1.dll में %प्रणाली% फ़ोल्डर - इस घटक के लिए जिम्मेदार पासवर्ड चोरी. यह इंजेक्ट किया जाएगा में चल रहे सभी प्रक्रियाओं और निगरानी करेंगे माउस इशारों और कीस्ट्रोक्स. कुछ लक्षित ऑनलाइन खेल: MapleStory, कॉनन की आयु, रोहन, अंगूठियों का मालिक, ऑनलाइन, भूमि के अदन और दूसरों.

    - बनाने के लिए एक छिपा autorun.inf फ़ाइल प्रत्येक ड्राइव करने के लिए जो अंक एक छिपा प्रतिलिपि के मैलवेयर में पाया %drive_letter%1ogf.exe इस्तेमाल का प्रसार करने के लिए खुद के माध्यम से हटाने योग्य ड्राइव

    - ड्रॉप एक ड्राइवर फ़ाइल नाम klif.sys में %dirvers% फोल्डर और निम्न रजिस्ट्री कुंजी बनाने के लिए आदेश में यह ड्राइवर लोड करने के लिए एक सेवा के रूप में हर प्रणाली स्टार्टअप

    HKEY_LOCAL_MACHINESoftwareCurrentcontrolsetserviceskavsys

    प्रकार: 0x1

    ErrorControl: 0x1

    शुरू: 0x1

    ImagePath: %drivers%klif.sys

    इस ड्राइवर फ़ाइल के साथ, एक और है । dll फ़ाइल का नाम ANTIVM.dll, इस्तेमाल किया जाएगा, निष्क्रिय करने के लिए अद्यतन के लिए अलग अलग एंटीवायरस सॉफ्टवेयर या बंद करने के लिए प्रक्रियाओं है कि इस्तेमाल किया जा सकता है पर नजर रखने के लिए चल रहे कार्यक्रमों व्यवहार (क्रम में विश्लेषण करने के लिए और अधिक कठिन है) ।

    - यह भी जोड़ने के लिए निम्न संशोधन करने के लिए रजिस्ट्री सेटिंग्स

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall

    CheckedValue = 0x00000000

    इतना है कि उपयोगकर्ता सक्षम नहीं होगा करने के लिए देखें छिपे हुए फ़ाइलें और फ़ोल्डर एक्सप्लोरर में ब्राउज़िंग, जबकि फाइल सिस्टम.

    - यह डाउनलोड निम्न फ़ाइल http://[हटा दिया]uw2..com/xmfx/help1.rar और इसे बचाने में %temp% फ़ोल्डर (जब इस विवरण को बनाया गया था, फ़ाइल उपलब्ध नहीं था अब)

  • Trojan.PWS.OnlineGames.KBVT Remover is a simple command-line tool designed to help you get rid of the virus infection in no time.

    This is another onlinegames password stealer. When first run the malware will perform the following actions:

    - make a hidden copy of itself in %System% folder under olhrwef.exe and create the following registry key

    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

    Name: cdoosoft

    Value: "%System%olhrwef.exe

    in order for this copy to be run at every system startup

    - drop a hidden .dll file named nmdfgds0.dll or nmdfgds1.dll in %System% folder - this is the component responsible for password stealing. It will be injected in all running processes and will monitor mouse gestures and keystrokes. some of the targeted online games are: MapleStory, Age Of Conan, Rohan, The Lord OF The Rings, Knight Online, Lands Of Aden and others.

    - create a hidden autorun.inf file on each drive which points to a hidden copy of the malware found in %drive_letter%1ogf.exe used to spread itself via removable drives

    - drop a driver file named klif.sys in %dirvers% folder and create the following registry key in order for this driver to be loaded as a service at every system startup

    HKEY_LOCAL_MACHINESoftwareCurrentControlSetServicesKAVSys

    Type: 0x1

    ErrorControl: 0x1

    Start: 0x1

    ImagePath: %drivers%klif.sys

    This driver file, along with another .dll file named ANTIVM.dll, will be used to disable the update for different antivirus software or to stop processes that may be used to monitor running programs behaviour (in order to make analysis more difficult).

    - it will also add the following modifications to registry settings

    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

    CheckedValue = 0x00000000

    so that the user won't be able to see hidden files and folders in explorer while browsing the file system.

    - it will download the following file http://[removed]uw2..com/xmfx/help1.rar and save it in %temp% folder (when this description was made the file wasn't available anymore)