SysWin7z.Jmp SysWin7z.sys木马病毒的手动删除方法
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
病毒名称:Trojan-PSW.Win32.QQPass.ajo(Kaspersky)
病毒别名:Worm.Win32.PaBug.cf(瑞星),Win32.Troj.QQPassT.ah.110771(毒霸)
病毒大小:32,948 字节
加壳方式:UPX
样本MD5:772f4dfc995f7c1ad6d1978691190CDe
样本SHA1:e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc
关联病毒:
传播方式:通过恶意网页传播、其它木马下载、优盘及移动硬盘传播
技术分析
==========
木马运行后将自身复制到:
Code:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys
创建ShellExecuteHooks启动信息:
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"=""
[HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.sys"
代码:
[HKEY_CURRENT_USER\Software\Tencent\Deta3]
"Ft"
查找本机E盘,并在其根目录生成:
Autorun.inf和Autorun.exe文件,试图通过优盘传播。
木马病毒运行后会自动从用户QQ中随机挑选好友,组成临时讨论组。它会向组中好友发送内容为“www.fxxxxx.cn/1651.rar这里有我的照片帮我顶下记得回复我哦点击就可下载”的消息。讨论组中的其他用户打开链接中的文件就可能被病毒感染。木马会访问网络下载其它病毒、木马或[url=http://www.pxue.com/Tag/93/1.html]恶意程序[/url]到临时目录并运行。
清除步骤
==========
1. 删除木马创建的ShellExecuteHooks项(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
代码:
Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F81F75C9-F974-4772-B72D-F28CBCD98C5F}"
[HKEY_CLASSES_ROOT\CLSID\{F81F75C9-F974-4772-B72D-F28CBCD98C5F}]
2. 重新启动计算机
3. 删除木马文件:
Code:
%ProgramFiles%\Internet Explorer\PLUGINS\SysWin7z.Jmp
%ProgramFiles%\Internet Explorer\PLUGINS\WinSys8z.sys
如果存在E盘,删除:
Code:
E:\Autorun.inf
E:\Autorun.exe
4. 删除注册表信息(开始菜单-运行-输入“regedit”进入注册表依次找到说明选项并按提示操作):
Code:
[HKEY_CURRENT_USER\Software\Tencent\Deta3]
相关文章
PSW.Win32.Magania.ffw(F3C74E3FA248.exe)病毒的清除
文件名称:F3C74E3FA248.exe 文件大小:74532 byte AV命名: Trojan-PSW.Win32.Magania.ffw 卡巴斯基 Trojan.Win32.BCB.m IKARUS 文件MD5:14a076a352047d0967ef06f0e5625f31 病毒类型:木马 行为:2008-02-02关于近来网上大量泛滥的灰鸽子病毒(Huigezi、Gpigeon)介绍和查杀大全附专杀工具
关于近来网上大量泛滥的灰鸽子病毒(Huigezi、Gpigeon)介绍和查杀大全附专杀工具...2007-03-03MSN传播病毒Backdoor.Win32.IRCBot.acd清除方法
MSN传播病毒Backdoor.Win32.IRCBot.acd清除方法...2007-08-08
最新评论