至顶网›安全频道 ›木马 SMSS.exe hook.dll fOxkb.sys 解决方案

木马 SMSS.exe hook.dll fOxkb.sys 解决方案

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

木马隐藏自身进程，在任务管理器、ProceXP等进程管理程序中不可见。

作者：CISRT 来源：CISRT 2008年10月6日

关键字： hook.dll手动查杀 hook.dll查杀 hook.dll专杀 hook.dll

档案编号：CISRT2007088
病毒名称：Trojan-PSW.Win32.OnLineGames.qw [dll]（Kaspersky）, Rootkit.Win32.Agent.fy [sys]（Kaspersky）
病毒别名：Trojan.PSW.Win32.JHOnline.a [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.dba [dll]（瑞星）
　　　　　 Trojan.PSW.Win32.JHOnline.a [sys]（瑞星）
病毒大小：49,664 字节
加壳方式：
样本MD5：335838f3badbc6532211e19988f008a9
样本SHA1：1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
发现时间：2007.7
更新时间：2007.7
关联病毒：
传播方式：通过恶意网站传播，其它木马下载

技术分析
==========

木马运行后复制自身到系统目录下：
%Windows%\system\SMSS.exe
并释放dll：
%Windows%\system\hook.dll

在当前位置释放驱动fOxkb.sys：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]

木马隐藏自身进程，在任务管理器、ProceXP等进程管理程序中不可见。

创建启动项：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"

约每5秒重写一次。

清除步骤
==========

1. 使用IceSword结束木马进程：
%Windows%\system\SMSS.exe

2. 删除文件：
%Windows%\system\SMSS.exe
%Windows%\system\hook.dll

3. 删除木马启动项：

复制内容到剪贴板

代码:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"

4. 删除注册表中木马添加的驱动信息：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]

5. 删除木马释放的驱动文件：
fOxkb.sys

木马 SMSS.exe hook.dll fOxkb.sys 解决方案

木马 SMSS.exe hook.dll fOxkb.sys 解决方案

木马 SMSS.exe hook.dll fOxkb.sys 解决方案

VIP专区

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

木马 SMSS.exe hook.dll fOxkb.sys 解决方案

代码:

代码:

代码:

业界热点: