科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道手工查杀SMSS.exe hook.dll fOxkb.sys的方法

手工查杀SMSS.exe hook.dll fOxkb.sys的方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

手工查杀SMSS.exe hook.dll fOxkb.sys的方法

来源:论坛整理 2008年12月20日

关键字: 安全防范 病毒查杀 病毒资料

  • 评论
  • 分享微博
  • 分享邮件

病毒名称:Trojan-PSW.Win32.OnLineGames.qw [dll](Kaspersky), Rootkit.Win32.Agent.fy [sys](Kaspersky)
  病毒别名:Trojan.PSW.Win32.JHOnline.a [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dba [dll](瑞星)
      Trojan.PSW.Win32.JHOnline.a [sys](瑞星)
  病毒大小:49,664 字节
  加壳方式:
  样本MD5:335838f3badbc6532211e19988f008a9
  样本SHA1:1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
  发现时间:2007.7
  更新时间:2007.7
  关联病毒:
  传播方式:通过恶意网站传播,其它木马下载

  技术分析
  ==========
  木马运行后复制自身到系统目录下:
  %Windows%\system\SMSS.exe
  并释放dll:
  %Windows%\system\hook.dll
  在当前位置释放驱动fOxkb.sys:

  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]
  木马隐藏自身进程,在任务管理器、ProceXP等进程管理程序中不可见。
  创建启动项:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"
  约每5秒重写一次。

  清除步骤
  ==========
  1. 使用IceSword结束木马进程:
  %Windows%\system\SMSS.exe
  2. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
  %Windows%\system\SMSS.exe
  %Windows%\system\hook.dll
  3. 删除木马启动项(详细步骤:打开SREng-启动项目-注册表):SREng软件也可到down.45it.com下载

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"
  4. 删除注册表中木马添加的驱动信息(详细步骤:打开SREng-启动项目-驱动程序):
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]
  5. 删除木马释放的驱动文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
  fOxkb.sys

本文来自: 脚本之家(www.jb51.net) 详细出处参考:http://www.jb51.net/article/10546.htm

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章