手工查杀SMSS.exe hook.dll fOxkb.sys的方法
手工查杀SMSS.exe hook.dll fOxkb.sys的方法
发布时间:2016-12-26 来源:查字典编辑
摘要:病毒名称:Trojan-PSW.Win32.OnLineGames.qw[dll](Kaspersky),Rootkit.Win32.Age...

病毒名称:Trojan-PSW.Win32.OnLineGames.qw[dll](Kaspersky),Rootkit.Win32.Agent.fy[sys](Kaspersky)

病毒别名:Trojan.PSW.Win32.JHOnline.a[exe](瑞星),Trojan.PSW.Win32.OnlineGames.dba[dll](瑞星)

Trojan.PSW.Win32.JHOnline.a[sys](瑞星)

病毒大小:49,664字节

加壳方式:

样本MD5:335838f3badbc6532211e19988f008a9

样本SHA1:1c13b0d60b8838dcb5581e21f0526b1d6412a5d8

发现时间:2007.7

更新时间:2007.7

关联病毒:

传播方式:通过恶意网站传播,其它木马下载

技术分析

==========

木马运行后复制自身到系统目录下:

%Windows%systemSMSS.exe

并释放dll:

%Windows%systemhook.dll

在当前位置释放驱动fOxkb.sys:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesfOxkb]

木马隐藏自身进程,在任务管理器、ProceXP等进程管理程序中不可见。

创建启动项:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"QQREST"="%Windows%systemSMSS.exe"

约每5秒重写一次。

清除步骤

==========

1.使用IceSword结束木马进程:

%Windows%systemSMSS.exe

2.删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):

%Windows%systemSMSS.exe

%Windows%systemhook.dll

3.删除木马启动项(详细步骤:打开SREng-启动项目-注册表):SREng软件也可到down.45it.com下载

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"QQREST"="%Windows%systemSMSS.exe"

4.删除注册表中木马添加的驱动信息(详细步骤:打开SREng-启动项目-驱动程序):

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesfOxkb]

5.删除木马释放的驱动文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):

fOxkb.sys

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类