手工查杀SMSS.exe hook.dll fOxkb.sys的方法
病毒名称:Trojan-PSW.Win32.OnLineGames.qw [dll](Kaspersky), Rootkit.Win32.Agent.fy [sys](Kaspersky)
病毒别名:Trojan.PSW.Win32.JHOnline.a [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dba [dll](瑞星)
Trojan.PSW.Win32.JHOnline.a [sys](瑞星)
病毒大小:49,664 字节
加壳方式:
样本MD5:335838f3badbc6532211e19988f008a9
样本SHA1:1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
发现时间:2007.7
更新时间:2007.7
关联病毒:
传播方式:通过恶意网站传播,其它木马下载
技术分析
==========
木马运行后复制自身到系统目录下:
%Windows%\system\SMSS.exe
并释放dll:
%Windows%\system\hook.dll
在当前位置释放驱动fOxkb.sys:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]
木马隐藏自身进程,在任务管理器、ProceXP等进程管理程序中不可见。
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"
约每5秒重写一次。
清除步骤
==========
1. 使用IceSword结束木马进程:
%Windows%\system\SMSS.exe
2. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%Windows%\system\SMSS.exe
%Windows%\system\hook.dll
3. 删除木马启动项(详细步骤:打开SREng-启动项目-注册表):SREng软件也可到down.45it.com下载
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"
4. 删除注册表中木马添加的驱动信息(详细步骤:打开SREng-启动项目-驱动程序):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]
5. 删除木马释放的驱动文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
fOxkb.sys
相关推荐
-
手工查杀SMSS.exe hook.dll fOxkb.sys的方法
病毒名称:Trojan-PSW.Win32.OnLineGames.qw [dll](Kaspersky), Rootkit.Win32.Agent.fy [sys](Kaspersky) 病毒别名:Trojan.PSW.Win32.JHOnline.a [exe](瑞星), Trojan.PSW.Win32.OnlineGames.dba [dll](瑞星) Trojan.PSW.Win32.JHOnline.a [sys](瑞星) 病毒大小:49,664 字节 加壳方式: 样本MD5:33
-
最新病毒结合auto.exe,游戏盗号木马下载者手工查杀microsofts.vbs
最新病毒结合auto.exe,游戏盗号木马下载者手工查杀下面是启用病毒的代码microsofts.vbs 复制代码 代码如下: Set Lovecuteqq = CreateObject("Wscript.Shell") Lovecuteqq.run ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\microsofts.pif") 木马名称:Trojan-PSW/Win32.OnLineGames.lxt 路径:C:\WINDOWS\sys
-
shualai.exe病毒及手工查杀方法
这是个利用ANI漏洞传播的木马群,其"动态插入进程"的功能是导致中招后杀毒困难的原因之一. 另:中招后,系统分区以外的.exe全被感染.这也是中此毒后的麻烦之处. 中招后的"症状":进程列表中可见shualai.exe进程. 建议:用SRENG扫份日志保存,以便弄清基本情况,便于后面的手工杀毒操作. 手工查杀流程如下(用IceSword操作): 1.禁止进程创建. 2.根据SRENG日志,先结束病毒进程shualai.exe以及所有被病毒模块插入的进程(病毒插入了哪
-
HDM.exe手工查杀U盘病毒的方法
HDM.exe是一个恶性的U盘病毒,其破坏力巨大,主要表现在以下几个方面: Quote: 1.使用恢复SSDT的方式破坏杀毒软件 2.IFEO映像劫持 3.关闭指定窗口 4.删除gho文件 5.破坏安全模式,以及显示隐藏文件功能 6.感染htm等网页文件 7.猜测密码通过局域网传播 8.通过U盘等移动存储传播 9.arp欺骗 具体分析如下: Quote: File: HDM.exe Size: 13312 bytes Modified: 2007年11月28日, 16:52:08 MD5: 7E
-
RAV0088.exe RAV0088.DAT手工查杀方法
病毒名称:N/A(Kaspersky) 病毒别名:Win32.Troj.OnLineGamesT.cu.65536 [dll](毒霸) 病毒大小:9,420 字节 加壳方式:PE_Patch UPack 样本MD5:e14c15ece526b8dea5347b1bdad8afe0 样本SHA1:31bd81eaf9182e9f87a9c2df55fa748a8c1ce0ad 发现时间:2007.8 更新时间:2007.8 关联病毒: 传播方式:通过恶意网站传播,其它木马下载 技术分析 =====
-
水牛(shuiniu.exe)手工查杀方法不用专杀工具
这是一个可以通过移动存储传播的恶性病毒,具有反病毒软件和下载木马的功能,且病毒采用了向svchost.exe注入病毒代码的方法保护自身,使其发现和删除更加困难,因其主文件名"ShuiNiu.exe",因此称病毒为"水牛"病毒. Quote: File: ShuiNiu.exe Size: 22069 bytes Modified: 2007年11月5日, 10:13:38 MD5: 1FA97A5E1766D6E668321838A6F3E536 SHA1: 943
-
winasse.exe的手工查杀流程[图文]教程
1.结束进程winasse.exe(路径:C:\WINDOWS\system32\winasse.exe)2.删除病毒添加的启动项(图1)3.删除下列文件及文件夹(图2)图1 图2
-
对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具
病毒症状: 杀毒软件被禁用.隐藏文件无法显示.开始命令msconfig无法运行.很多辅助软件也无法运行,运行EXE以及SCR 文件后被病毒的感染 手动查杀用到的软件: SRENG软件以及XDELBOX软件 Quote: 病毒名称:Trojan-Downloader.Win32.Agent.**** 病毒类型:木马 病毒MD5:2ccd81d7d358778b11de9303e0097d2d 加壳类型:UPX 编写语言:Borland Delphi 6.0 - 7.0 病毒运行 生成进程: Cod
-
可以查杀sxs.exe的bat(批处理)文件
复制代码 代码如下: ::echo 特征:在每个盘根目录下自动生成sxs.exe,autorun.inf文件,有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件属性为隐含属性.自动禁用杀毒软件 ::解决方法:建立批处理文件 (内容) @echo off taskkill /f /im sxs.exe /t taskkill /f /im SVOHOST.exe /t c: attrib sxs.exe -a -h -s de
-
威金变种 rundl132.exe RichDll.dll,f1.exe,f2.exe,f3.exe,f4,exe,f5.exe,f11.exe解决方法
威金变种 rundl132.exe RichDll.dll解决方法 该变种暂时还没被江民和卡巴查杀,并用了几个专杀就找到一个可查杀修复EXE文件! 病毒运行后,访问网络下载多个木马程序(f1.exe,f2.exe,f3.exe,f4.exe,f5.exe,f6.exe,f7.exe,f8.exe,f9.exe,f10.exe,f11.exe)并运行!生成以下病毒文件(感觉现在的病毒真是变态): C:\Documents and Settings\你的用户名\Local Settings\Temp