病毒名称:Trojan-PSW.Win32.OnLineGames.qw[dll](Kaspersky),Rootkit.Win32.Agent.fy[sys](Kaspersky)
病毒别名:Trojan.PSW.Win32.JHOnline.a[exe](瑞星),Trojan.PSW.Win32.OnlineGames.dba[dll](瑞星)
Trojan.PSW.Win32.JHOnline.a[sys](瑞星)
病毒大小:49,664字节
加壳方式:
样本MD5:335838f3badbc6532211e19988f008a9
样本SHA1:1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
发现时间:2007.7
更新时间:2007.7
关联病毒:
传播方式:通过恶意网站传播,其它木马下载
技术分析
==========
木马运行后复制自身到系统目录下:
%Windows%systemSMSS.exe
并释放dll:
%Windows%systemhook.dll
在当前位置释放驱动fOxkb.sys:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesfOxkb]
木马隐藏自身进程,在任务管理器、ProceXP等进程管理程序中不可见。
创建启动项:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"QQREST"="%Windows%systemSMSS.exe"
约每5秒重写一次。
清除步骤
==========
1.使用IceSword结束木马进程:
%Windows%systemSMSS.exe
2.删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
%Windows%systemSMSS.exe
%Windows%systemhook.dll
3.删除木马启动项(详细步骤:打开SREng-启动项目-注册表):SREng软件也可到down.45it.com下载
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"QQREST"="%Windows%systemSMSS.exe"
4.删除注册表中木马添加的驱动信息(详细步骤:打开SREng-启动项目-驱动程序):
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesfOxkb]
5.删除木马释放的驱动文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除):
fOxkb.sys
【手工查杀SMSS.exe hook.dll fOxkb.sys的方法】相关文章:
★ Windows提示找不到文件“chkfat.exe”的解决方法
★ 替换ctfmon.exe的下载器window.exe的方法
★ wwjod.dll加载失败,win32.troj.mnless.82432的清除方法
★ fjOs0r.dll、OnlO0r.dll 木马群的清除方法
★ RAV0088.exe RAV0088.DAT手工查杀方法
★ 关于rundl132.exe vidll.dll LOGO1.exe 的清除方法