扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年6月3日
关键字: 病毒清除 syswin64.sys
Aditional information
File size: 32873 bytes
CRC32 : 5FD03479
MD5: 4fda59631385d13c98e470d69ce69196
SHA1: 946d07eba7935b02a5902657a401eccdaee88695
SHA160 : 946D07EBA7935B02A5902657A401ECCDAEE88695
packers: UPX 0.89.6 - 1.02 / 1.05 - 1.24
Languages:Borland Delphi 6.0 - 7.0
运行,释放:
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp 32873 字节
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys 46697 字节
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao 46697 字节
写注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
实现开机自启
SysWin64.Sys枚举进程,尝试插入QQ.exe\Explorer.Exe\VerCLsID.exe
随后使用Hook技术(WH_CALLWNDPROCRET)监视发送窗口过程消息和WH_GETMESSAGE勾子,并拦截GetMessage、PeekMessage等函数返回消息模拟鼠标和键盘行为操作获得QQ密码(绕过QQ键盘锁)并尝试修改HKEY_CURRENT_USER\Software\Tencent\Gm\和其他等键
不过测试时都未实现 :D
最后在E:下(其他盘未发现)生成Autorun.inf和AutoRun.exe
…………
解决方法:
http://gudugengkekao.ys168.com/下载:
下载东西直接放桌面,断开网络``
1、打开PowerRmv,选上“抑制对象再次生成”,填入下面路径后点杀灭:
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao
E:\autorun.inf
E:\autorun.exe
2、打开SREng,删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
ShellExecuteHooks]
3、重启电脑,修改QQ密码```
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者