SysWin7z.Jmp SysWin7z.sys木马病毒的手动删除方法
SysWin7z.Jmp SysWin7z.sys木马病毒的手动删除方法
发布时间:2016-12-26 来源:查字典编辑
摘要:病毒名称:Trojan-PSW.Win32.QQPass.ajo(Kaspersky)病毒别名:Worm.Win32.PaBug.cf(瑞星...

病毒名称:Trojan-PSW.Win32.QQPass.ajo(Kaspersky)

病毒别名:Worm.Win32.PaBug.cf(瑞星),Win32.Troj.QQPassT.ah.110771(毒霸)

病毒大小:32,948字节

加壳方式:UPX

样本MD5:772f4dfc995f7c1ad6d1978691190CDe

样本SHA1:e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc

关联病毒:

传播方式:通过恶意网页传播、其它木马下载、优盘及移动硬盘传播

技术分析

==========

木马运行后将自身复制到:

Code:

%ProgramFiles%InternetExplorerPLUGINSSysWin7z.Jmp

%ProgramFiles%InternetExplorerPLUGINSWinSys8z.sys

创建ShellExecuteHooks启动信息:

Code:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"=""

[HKEY_CLASSES_ROOTCLSID{F81F75C9-F974-4772-B72D-F28CBCD98C5F}InProcServer32]

@="%ProgramFiles%InternetExplorerPLUGINSSysWin7z.sys"

代码:

[HKEY_CURRENT_USERSoftwareTencentDeta3]

"Ft"

查找本机E盘,并在其根目录生成:

Autorun.inf和Autorun.exe文件,试图通过优盘传播。

木马病毒运行后会自动从用户QQ中随机挑选好友,组成临时讨论组。它会向组中好友发送内容为“www.fxxxxx.cn/1651.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”的消息。讨论组中的其他用户打开链接中的文件就可能被病毒感染。木马会访问网络下载其它病毒、木马或[url=http://www.pxue.com/Tag/93/1.html]恶意程序[/url]到临时目录并运行。

清除步骤

==========

1.删除木马创建的ShellExecuteHooks项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):

代码:

Code:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"

[HKEY_CLASSES_ROOTCLSID{F81F75C9-F974-4772-B72D-F28CBCD98C5F}]

2.重新启动计算机

3.删除木马文件:

Code:

%ProgramFiles%InternetExplorerPLUGINSSysWin7z.Jmp

%ProgramFiles%InternetExplorerPLUGINSWinSys8z.sys

如果存在E盘,删除:

Code:

E:Autorun.inf

E:Autorun.exe

4.删除注册表信息(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):

Code:

[HKEY_CURRENT_USERSoftwareTencentDeta3]

推荐文章
猜你喜欢
附近的人在看
推荐阅读
拓展阅读
相关阅读
网友关注
最新病毒查杀学习
热门病毒查杀学习
实用技巧子分类