Trojan.BAT.POWLOAD.M

2025年3月31日

分析者: John Rainier Navato

Trojan.PowerShell.Agent (IKARUS)

平台:

Windows

总体风险等级:

潜在破坏:

潜在分布:

感染次数:

信息暴露:

恶意软件类型:
Trojan
有破坏性？:
没有
加密？:
In the Wild:
是的

概要

感染途徑: 从互联网下载、由其他恶意软件释放

该木马通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

技术详细信息

文件大小: 6,824 bytes

报告日期: Other

内存驻留: 是的

初始樣本接收日期: 2025年3月26日

Payload: 连接URL/IP地址, 释放文件, 修改系统注册表

Arrival Details

该木马通过两种途径进入系统：一是被其他恶意软件作为文件释放到系统中，二是用户访问恶意网站时在不知情的情况下下载的文件。

Installation

该木马程序会释放以下文件：

%Application Data%\Microsoft\Windows\Recent\CustomDestinations\{Random}.temp
%Application Data%\Microsoft\Windows\Recent\CustomDestinations\{Random}.customDestinations-ms~{Random}.TMP
%Application Data%\Kollegiebyggerier.Pau
% Internet Files%\Content.IE5\{Random}\json[1].gp
%Application Data%\lamourtesy.dat

(Note: %Application Data% 是当前用户的 Application Data 文件夹，通常路径为：C:\Documents and Settings\{user name}\Application Data 在Windows 2000（32位）、XP及Server 2003（32位）系统上，或 C:\Users\{user name}\AppData\Roaming 在Windows Vista、7、8、8.1、2008（64位）、2012（64位）及10（64位）系统上。）

它会添加以下进程：

powershell.exe -windowstyle hidden {Obfuscated Powershell Command}
%System%\msiexec.exe
%System%\cmd.exe /c REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "Counterreplying83" /t REG_EXPAND_SZ /d "%Lunaria% -windowstyle 1 $Trykkammerets=(gi 'HKCU:\Software\Komprimeringerne\').GetValue('Missionshotellet');%Lunaria% ($Trykkammerets)"

(Note: %System% 是Windows系统文件夹,通常位于此路径 C:\Windows\System32 适用于所有Windows操作系统版本。）

Autostart Technique

该木马程序会添加以下注册表项，以实现其在每次系统启动时自动运行：

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Counterreplying83 = %Lunaria% -windowstyle 1 $Trykkammerets=(gi 'HKEY_CURRENT_USER:\Software\Komprimeringerne\').GetValue('Missionshotellet');%Lunaria% ($Trykkammerets)

其他系统修改

该木马会添加以下注册表项：

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
LanguageList = en-US, en

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\AccessibilityCpl.dll,-10 = Ease of Access Center

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\ie4uinit.exe,-737 = Internet Explorer (No Add-ons)

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\wucltux.dll,-1 = Windows Update

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%Windows%\ehome\ehres.dll,-100 = Windows Media Center

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%Program Files%\Windows Sidebar\sidebar.exe,-1005 = Desktop Gadget Gallery

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%Program Files%\DVD Maker\DVDMaker.exe,-61403 = Windows DVD Maker

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%Program Files%\Common Files\Microsoft Shared\Ink\mip.exe,-291 = Math Input Panel

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\mblctr.exe,-1008 = Windows Mobility Center

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\NetProjW.dll,-501 = Connect to a Network Projector

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\mstsc.exe,-4000 = Remote Desktop Connection

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\SoundRecorder.exe,-100 = Sound Recorder

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\SyncCenter.dll,-3000 = Sync Center

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\Speech\SpeechUX\sapi.cpl,-5555 = Windows Speech Recognition

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\dfrgui.exe,-103 = Disk Defragmenter

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\wdc.dll,-10030 = Resource Monitor

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\msinfo32.exe,-100 = System Information

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\rstrui.exe,-100 = System Restore

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\miguiresource.dll,-201 = Task Scheduler

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\migwiz\wet.dll,-591 = Windows Easy Transfer Reports

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\migwiz\wet.dll,-588 = Windows Easy Transfer

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%Program Files%\Common Files\Microsoft Shared\Ink\ShapeCollector.exe,-298 = Personalize Handwriting Recognition

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%Program Files%\Common Files\Microsoft Shared\Ink\TipTsf.dll,-80 = Tablet PC Input Panel

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%Program Files%\Windows Journal\Journal.exe,-3074 = Windows Journal

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\WindowsPowerShell\v1.0\powershell.exe,-101 = Windows PowerShell ISE

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\comres.dll,-3410 = Component Services

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\mycomput.dll,-300 = Computer Management

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\odbcint.dll,-1310 = Data Sources (ODBC)

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\miguiresource.dll,-101 = Event Viewer

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\iscsicpl.dll,-5001 = iSCSI Initiator

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\MdSched.exe,-4001 = Windows Memory Diagnostic

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\wdc.dll,-10021 = Performance Monitor

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\pmcsnap.dll,-700 = Print Management

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\wsecedit.dll,-718 = Local Security Policy

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\filemgmt.dll,-2204 = Services

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\msconfig.exe,-126 = System Configuration

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\AuthFWGP.dll,-20 = Windows Firewall with Advanced Security

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\gameux.dll,-10082 = Games Explorer

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\sdcpl.dll,-101 = Backup and Restore

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\recdisc.exe,-2000 = Create a System Repair Disc

HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\
MuiCache\44\52C64B7E
@%System%\msra.exe,-100 = Windows Remote Assistance

HKEY_CURRENT_USER\Environment
Lunaria = %System%\WindowsPowerShell\v1.0\powershell.exe

HKEY_CURRENT_USER\Software\juynvfpoils-YFZCIY
exepath = {Hex Values}

HKEY_CURRENT_USER\Software\juynvfpoils-YFZCIY
licence = BBA2FC804C4F253162217A6FFC73E369

HKEY_CURRENT_USER\Software\juynvfpoils-YFZCIY
time = 1743220494

HKEY_CURRENT_USER\Software\juynvfpoils-YFZCIY
UID = 506762904

其他信息

该木马程序会添加以下注册表键值：

HKEY_CURRENT_USER\Software
Komprimeringerne =

HKEY_CURRENT_USER\Software
juynvfpoils-YFZCIY =

它连接到以下可疑的网址：

https://{BLOCKED}n.com
https://{BLOCKED}an.com/wp-content/Caweel1.png
https://{BLOCKED}n.com/wp-content/Caweel4.png
http://{BLOCKED}indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?70863a9a3c1d7d00

解决方案

最小扫描引擎: 9.800

First VSAPI Pattern File: 20.106.01

VSAPI 第一样式发布日期: 2025年3月26日

VSAPI OPR样式版本: 20.107.00

VSAPI OPR样式发布日期: 2025年3月27日

Step 1

在进行任何扫描之前，Windows 7、Windows 8、Windows 8.1 和 Windows 10 用户必须先执行以下操作：禁用 系统还原 以便对电脑进行全面扫描。

Step 2

注意：在此恶意软件/间谍软件/灰色软件执行期间，并非所有文件、文件夹和注册表键值和项都会安装到您的计算机上。这可能是由于不完整的安装或其他操作系统条件所致。如果您没有找到相同的文件/文件夹/注册表信息，请继续进行下一步操作。

Step 3

以安全模式重启

[ 更多 ]

请按以下步骤操作=

要进入安全模式重启：

• For Windows 7 and Windows Server 2008 (R2) users

重启你的电脑。
按下F8 在开机自检（POST）程序完成后。如果 高级启动选项 若未出现菜单，请尝试重启计算机，并在POST界面显示后多次按F8键。
在高级启动选项菜单中，使用方向键选择Safe Mode 选项，然后按 Enter.

• For Windows 8, Windows 8.1, and Windows Server 2012 users

访问Charms bar 将鼠标指针移至屏幕右上角即可。
将鼠标指针向下移动并点击 Settings>更改您的电脑设置.
在左侧面板中，点击“通用”。
在右侧面板中，向下滚动至底部找到 Advanced startup 部分，然后点击 Restart now 按钮并等待系统重启。
在Advanced Startup 菜单中，点击 Troubleshoot>Advanced Options>Startup Settings>Restart 并等待系统重启。
在Startup Settings 菜单中，按下 4 以启用安全模式。

• 对于 Windows 10 用户：

按下Windows logo key + I 键打开“设置”。若无效，请选择 Start按钮，然后选择Settings.
选择Update & Security > Recovery.
在Advanced startup, select Restart now.
当您的电脑重启进入 请选择一个选项 屏幕上，选择Troubleshoot > Advcanced options > 启动设置 > Restart.
电脑重启后，您将看到一系列选项。请选择4 或按 F4 以安全模式启动您的电脑。

Step 4

删除此注册表值

[ 更多 ]

Important: 编辑 Windows Registry 操作不当可能导致系统出现无法恢复的故障。请务必仅在您熟悉相关步骤的情况下执行；如有疑问，可寻求系统管理员的协助。否则，请查看下方链接。 Microsoft article 修改计算机注册表前请务必先进行此操作.

In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- LanguageList = en-US, en
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\AccessibilityCpl.dll,-10 = Ease of Access Center
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\ie4uinit.exe,-737 = Internet Explorer (No Add-ons)
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\wucltux.dll,-1 = Windows Update
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%Windows%\ehome\ehres.dll,-100 = Windows Media Center
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%Program Files%\Windows Sidebar\sidebar.exe,-1005 = Desktop Gadget Gallery
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%Program Files%\DVD Maker\DVDMaker.exe,-61403 = Windows DVD Maker
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%Program Files%\Common Files\Microsoft Shared\Ink\mip.exe,-291 = Math Input Panel
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\mblctr.exe,-1008 = Windows Mobility Center
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\NetProjW.dll,-501 = Connect to a Network Projector
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\mstsc.exe,-4000 = Remote Desktop Connection
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\SoundRecorder.exe,-100 = Sound Recorder
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\SyncCenter.dll,-3000 = Sync Center
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\Speech\SpeechUX\sapi.cpl,-5555 = Windows Speech Recognition
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\dfrgui.exe,-103 = Disk Defragmenter
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\wdc.dll,-10030 = Resource Monitor
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\msinfo32.exe,-100 = System Information
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\rstrui.exe,-100 = System Restore
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\miguiresource.dll,-201 = Task Scheduler
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\migwiz\wet.dll,-591 = Windows Easy Transfer Reports
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\migwiz\wet.dll,-588 = Windows Easy Transfer
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%Program Files%\Common Files\Microsoft Shared\Ink\ShapeCollector.exe,-298 = Personalize Handwriting Recognition
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%Program Files%\Common Files\Microsoft Shared\Ink\TipTsf.dll,-80 = Tablet PC Input Panel
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%Program Files%\Windows Journal\Journal.exe,-3074 = Windows Journal
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\WindowsPowerShell\v1.0\powershell.exe,-101 = Windows PowerShell ISE
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\comres.dll,-3410 = Component Services
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\mycomput.dll,-300 = Computer Management
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\odbcint.dll,-1310 = Data Sources (ODBC)
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\miguiresource.dll,-101 = Event Viewer
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\iscsicpl.dll,-5001 = iSCSI Initiator
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\MdSched.exe,-4001 = Windows Memory Diagnostic
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\wdc.dll,-10021 = Performance Monitor
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\pmcsnap.dll,-700 = Print Management
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\wsecedit.dll,-718 = Local Security Policy
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\filemgmt.dll,-2204 = Services
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\msconfig.exe,-126 = System Configuration
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\AuthFWGP.dll,-20 = Windows Firewall with Advanced Security
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\gameux.dll,-10082 = Games Explorer
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\sdcpl.dll,-101 = Backup and Restore
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\recdisc.exe,-2000 = Create a System Repair Disc
In HKEY_USER\S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES\Local Settings\MuiCache\44\52C64B7E
- @%System%\msra.exe,-100 = Windows Remote Assistance
In HKEY_CURRENT_USER\Environment
- Lunaria = %System%\WindowsPowerShell\v1.0\powershell.exe
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Counterreplying83 = %Lunaria% -windowstyle 1 $Trykkammerets=(gi 'HKEY_CURRENT_USER:\Software\Komprimeringerne\').GetValue('Missionshotellet');%Lunaria% ($Trykkammerets)
In HKEY_CURRENT_USER\Software\juynvfpoils-YFZCIY
- exepath = {Hex Values}
In HKEY_CURRENT_USER\Software\juynvfpoils-YFZCIY
- licence = BBA2FC804C4F253162217A6FFC73E369
In HKEY_CURRENT_USER\Software\juynvfpoils-YFZCIY
- time = 1743220494
In HKEY_CURRENT_USER\Software\juynvfpoils-YFZCIY
- UID = 506762904

请按以下步骤操作=

要删除此恶意软件创建的注册表值：

打开注册表编辑器。为此，请执行以下操作:
» 对于 Windows 7 和 Windows Server 2008 (R2) 用户，请点击 Start button, type regedit in the Search输入字段，然后按下Enter.
» 对于 Windows 8、Windows 8.1、10 及 Windows Server 2012 (R2) 用户，请右键单击屏幕左下角，点击 Run, type regedit 在提供的文本框中，然后点击 Enter.
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_USER>S-1-5-21-2019512041-4230814187-3178073052-1000_CLASSES>Local Settings>MuiCache>44>52C64B7E
在右侧面板中，找到并删除以下条目：
LanguageList = en-US, en
Again 在右侧面板中，找到并删除以下条目：
@%System%\AccessibilityCpl.dll,-10 = Ease of Access Center
Again 在右侧面板中，找到并删除以下条目：
@%System%\ie4uinit.exe,-737 = Internet Explorer (No Add-ons)
Again 在右侧面板中，找到并删除以下条目：
@%System%\wucltux.dll,-1 = Windows Update
Again 在右侧面板中，找到并删除以下条目：
@%Windows%\ehome\ehres.dll,-100 = Windows Media Center
Again 在右侧面板中，找到并删除以下条目：
@%Program Files%\Windows Sidebar\sidebar.exe,-1005 = Desktop Gadget Gallery
Again 在右侧面板中，找到并删除以下条目：
@%Program Files%\DVD Maker\DVDMaker.exe,-61403 = Windows DVD Maker
Again 在右侧面板中，找到并删除以下条目：
@%Program Files%\Common Files\Microsoft Shared\Ink\mip.exe,-291 = Math Input Panel
Again 在右侧面板中，找到并删除以下条目：
@%System%\mblctr.exe,-1008 = Windows Mobility Center
Again 在右侧面板中，找到并删除以下条目：
@%System%\NetProjW.dll,-501 = Connect to a Network Projector
Again 在右侧面板中，找到并删除以下条目：
@%System%\mstsc.exe,-4000 = Remote Desktop Connection
Again 在右侧面板中，找到并删除以下条目：
@%System%\SoundRecorder.exe,-100 = Sound Recorder
Again 在右侧面板中，找到并删除以下条目：
@%System%\SyncCenter.dll,-3000 = Sync Center
Again 在右侧面板中，找到并删除以下条目：
@%System%\Speech\SpeechUX\sapi.cpl,-5555 = Windows Speech Recognition
Again 在右侧面板中，找到并删除以下条目：
@%System%\dfrgui.exe,-103 = Disk Defragmenter
Again 在右侧面板中，找到并删除以下条目：
@%System%\wdc.dll,-10030 = Resource Monitor
Again 在右侧面板中，找到并删除以下条目：
@%System%\msinfo32.exe,-100 = System Information
Again 在右侧面板中，找到并删除以下条目：
@%System%\rstrui.exe,-100 = System Restore
Again 在右侧面板中，找到并删除以下条目：
@%System%\miguiresource.dll,-201 = Task Scheduler
Again 在右侧面板中，找到并删除以下条目：
@%System%\migwiz\wet.dll,-591 = Windows Easy Transfer Reports
Again 在右侧面板中，找到并删除以下条目：
@%System%\migwiz\wet.dll,-588 = Windows Easy Transfer
Again 在右侧面板中，找到并删除以下条目：
@%Program Files%\Common Files\Microsoft Shared\Ink\ShapeCollector.exe,-298 = Personalize Handwriting Recognition
Again 在右侧面板中，找到并删除以下条目：
@%Program Files%\Common Files\Microsoft Shared\Ink\TipTsf.dll,-80 = Tablet PC Input Panel
Again 在右侧面板中，找到并删除以下条目：
@%Program Files%\Windows Journal\Journal.exe,-3074 = Windows Journal
Again 在右侧面板中，找到并删除以下条目：
@%System%\WindowsPowerShell\v1.0\powershell.exe,-101 = Windows PowerShell ISE
Again 在右侧面板中，找到并删除以下条目：
@%System%\comres.dll,-3410 = Component Services
Again 在右侧面板中，找到并删除以下条目：
@%System%\mycomput.dll,-300 = Computer Management
Again 在右侧面板中，找到并删除以下条目：
@%System%\odbcint.dll,-1310 = Data Sources (ODBC)
Again 在右侧面板中，找到并删除以下条目：
@%System%\miguiresource.dll,-101 = Event Viewer
Again 在右侧面板中，找到并删除以下条目：
@%System%\iscsicpl.dll,-5001 = iSCSI Initiator
Again 在右侧面板中，找到并删除以下条目：
@%System%\MdSched.exe,-4001 = Windows Memory Diagnostic
Again 在右侧面板中，找到并删除以下条目：
@%System%\wdc.dll,-10021 = Performance Monitor
Again 在右侧面板中，找到并删除以下条目：
@%System%\pmcsnap.dll,-700 = Print Management
Again 在右侧面板中，找到并删除以下条目：
@%System%\wsecedit.dll,-718 = Local Security Policy
Again 在右侧面板中，找到并删除以下条目：
@%System%\filemgmt.dll,-2204 = Services
Again 在右侧面板中，找到并删除以下条目：
@%System%\msconfig.exe,-126 = System Configuration
Again 在右侧面板中，找到并删除以下条目：
@%System%\AuthFWGP.dll,-20 = Windows Firewall with Advanced Security
Again 在右侧面板中，找到并删除以下条目：
@%System%\gameux.dll,-10082 = Games Explorer
Again 在右侧面板中，找到并删除以下条目：
@%System%\sdcpl.dll,-101 = Backup and Restore
Again 在右侧面板中，找到并删除以下条目：
@%System%\recdisc.exe,-2000 = Create a System Repair Disc
Again 在右侧面板中，找到并删除以下条目：
@%System%\msra.exe,-100 = Windows Remote Assistance
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_CURRENT_USER>Environment
在右侧面板中，找到并删除以下条目：
Lunaria = %System%\WindowsPowerShell\v1.0\powershell.exe
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
在右侧面板中，找到并删除以下条目：
Counterreplying83 = %Lunaria% -windowstyle 1 $Trykkammerets=(gi 'HKEY_CURRENT_USER:\Software\Komprimeringerne\').GetValue('Missionshotellet');%Lunaria% ($Trykkammerets)
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_CURRENT_USER>Software>juynvfpoils-YFZCIY
在右侧面板中，找到并删除以下条目：
exepath = {Hex Values}
Again 在右侧面板中，找到并删除以下条目：
licence = BBA2FC804C4F253162217A6FFC73E369
Again 在右侧面板中，找到并删除以下条目：
time = 1743220494
Again 在右侧面板中，找到并删除以下条目：
UID = 506762904
关闭注册表编辑器。

Step 5

删除此注册表项

[ 更多 ]

In HKEY_CURRENT_USER\Software
- juynvfpoils-YFZCIY
In HKEY_CURRENT_USER\Software
- Komprimeringerne

请按以下步骤操作=

要删除此恶意软件/灰色软件创建的注册表项：

打开注册表编辑器。为此，请执行以下操作:
» 对于 Windows 7 和 Server 2008 (R2) 用户，请点击 Start button, type regedit in the Search输入字段，然后按下Enter.
» 对于 Windows 8、8.1、10 及 Server 2012 (R2) 用户，请右键单击屏幕左下角，点击 Run, type regedit 在提供的文本框中，然后点击 Enter.
在注册表编辑器窗口的左侧面板中，双击以下项目：
HKEY_CURRENT_USER>Software
仍在左侧面板中，找到并删除以下注册表项：
juynvfpoils-YFZCIY
Again 仍在左侧面板中，找到并删除以下注册表项：
Komprimeringerne
关闭注册表编辑器。

Step 6

搜索并删除这些文件

[ 更多 ]

某些文件可能被隐藏，请务必勾选 搜索隐藏的文件和文件夹 勾选框 "更多进阶选项" 选项，以在搜索结果中包含所有隐藏的文件和文件夹。

%Application Data%\Microsoft\Windows\Recent\CustomDestinations\{Random}.temp

%Application Data%\Microsoft\Windows\Recent\CustomDestinations\{Random}.customDestinations-ms~{Random}.TMP

%Application Data%\Kollegiebyggerier.Pau

%Internet Files%\Content.IE5\{Random}\json[1].gp

%Application Data%\lamourtesy.dat

请按以下步骤操作=

要删除恶意软件/灰色软件文件：

适用于 Windows 7、Server 2008 (R2)、8、8.1、10 及 Server 2012 (R2) 系统：

打开 Windows 资源管理器窗口。
- 对于 Windows 7 和 Server 2008 (R2) 用户：点击Start>Computer.
- 对于Windows 8、8.1、10及Server 2012用户, 右键单击屏幕左下角，然后点击 File Explorer.
在搜索计算机/此电脑输入框中，键入：
%Application Data%\Microsoft\Windows\Recent\CustomDestinations\{Random}.temp
%Application Data%\Microsoft\Windows\Recent\CustomDestinations\{Random}.customDestinations-ms~{Random}.TMP
%Application Data%\Kollegiebyggerier.Pau
%Internet Files%\Content.IE5\{Random}\json[1].gp
%Application Data%\lamourtesy.dat
定位到该文件后，选中并按 SHIFT+DELETE 将其删除。
对所有列出的文件重复上述步骤。
*Note:阅读以下微软官方页面若上述步骤在 Windows 7 和 Server 2008 (R2) 系统上无效：

Step 7

以正常模式重启计算机，并使用亚信安全产品扫描检测病毒Trojan.BAT.POWLOAD.M. 如果检测到的文件已被亚信安全产品清理、删除或隔离，则无需执行其他操作。您可以选择直接删除隔离文件。请勾选此项知识库页面了解更多信息。