|
| [转帖]盗Q木马 system.jmp system16.sys 解决方案 |
| 作者 网络vs浪子 查看 1145 发表时间 2006/11/1 06:37 【论坛浏览】 |
|
技术分析gbmfw ==========gbmfw gbmfw 该木马运行后复制自身到%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp,释放%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys注入进程。gbmfw gbmfw 创建ShellExecuteHooks:gbmfw [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]gbmfw "{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""gbmfw gbmfw [HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]gbmfw @="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"gbmfw gbmfw gbmfw 设置注册表信息:gbmfw [HKEY_CURRENT_USER\Software\Ms\QQHooker6]gbmfw gbmfw 清除步骤gbmfw ==========gbmfw gbmfw 1. 删除注册表里病毒创建的ShellExecuteHooks信息:gbmfw gbmfw gbmfw [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]gbmfw "{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""gbmfw gbmfw [HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]gbmfw @="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"gbmfw gbmfw 2. 重新启动计算机gbmfw gbmfw 3. 删除病毒文件:gbmfw %ProgramFiles%\Internet Explorer\PLUGINS\system.jmpgbmfw %ProgramFiles%\Internet Explorer\PLUGINS\system16.sysgbmfw gbmfw 4. 删除病毒创建的注册表信息:gbmfw [HKEY_CURRENT_USER\Software\Ms\QQHooker6]gbmfw gbmfw gbmfw gbmfw gbmfw gbmfw gbmfw |
| 序号 | 评论者 | 共有评论 4 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | 欠你幸福 | 回复:[转帖]盗Q木马 system.jmp system16.sys 解决方案 好招数 |
2006/11/6 06:20 |
| 2 | redstaroom | 回复:[转帖]盗Q木马 system.jmp system16.sys 解决方案 恩,有木马?杀杀杀![em16]看我降毒18指![em16] |
2006/11/10 03:19 |
| 3 | wu1919 | 回复:[转帖]盗Q木马 system.jmp system16.sys 解决方案 有点模糊的感觉! |
2006/11/13 16:12 |
| 4 | 再来一次 | 回复:[转帖]盗Q木马 system.jmp system16.sys 解决方案 盗Q的都是垃圾 |
2006/11/20 09:40 |
共有评论数 4 每页显示 10
|
|||
