|
| [转帖]盗Q木马 system.jmp system16.sys 解决方案 |
| 作者 网络vs浪子 查看 1113 发表时间 2006/11/1 06:37 【论坛浏览】 |
|
技术分析crdqnv ==========crdqnv crdqnv 该木马运行后复制自身到%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp,释放%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys注入进程。crdqnv crdqnv 创建ShellExecuteHooks:crdqnv [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]crdqnv "{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""crdqnv crdqnv [HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]crdqnv @="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"crdqnv crdqnv crdqnv 设置注册表信息:crdqnv [HKEY_CURRENT_USER\Software\Ms\QQHooker6]crdqnv crdqnv 清除步骤crdqnv ==========crdqnv crdqnv 1. 删除注册表里病毒创建的ShellExecuteHooks信息:crdqnv crdqnv crdqnv [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]crdqnv "{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""crdqnv crdqnv [HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]crdqnv @="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"crdqnv crdqnv 2. 重新启动计算机crdqnv crdqnv 3. 删除病毒文件:crdqnv %ProgramFiles%\Internet Explorer\PLUGINS\system.jmpcrdqnv %ProgramFiles%\Internet Explorer\PLUGINS\system16.syscrdqnv crdqnv 4. 删除病毒创建的注册表信息:crdqnv [HKEY_CURRENT_USER\Software\Ms\QQHooker6]crdqnv crdqnv crdqnv crdqnv crdqnv crdqnv crdqnv |
| 序号 | 评论者 | 共有评论 4 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | 欠你幸福 | 回复:[转帖]盗Q木马 system.jmp system16.sys 解决方案 好招数 |
2006/11/6 06:20 |
| 2 | redstaroom | 回复:[转帖]盗Q木马 system.jmp system16.sys 解决方案 恩,有木马?杀杀杀![em16]看我降毒18指![em16] |
2006/11/10 03:19 |
| 3 | wu1919 | 回复:[转帖]盗Q木马 system.jmp system16.sys 解决方案 有点模糊的感觉! |
2006/11/13 16:12 |
| 4 | 再来一次 | 回复:[转帖]盗Q木马 system.jmp system16.sys 解决方案 盗Q的都是垃圾 |
2006/11/20 09:40 |
共有评论数 4 每页显示 10
|
|||
