Virus.Win32.AutoRun.en

一个盗Q的```以前在反毒区的网友日志里比较常见``
 
有幸抓到了只`````解剖!   =。=
 
Aditional information

File size: 32873 bytes
CRC32     : 5FD03479
MD5: 4fda59631385d13c98e470d69ce69196
SHA1: 946d07eba7935b02a5902657a401eccdaee88695
SHA160    : 946D07EBA7935B02A5902657A401ECCDAEE88695
packers: UPX 0.89.6 - 1.02 / 1.05 - 1.24
Languages:Borland Delphi 6.0 - 7.0
 
运行,释放:

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp   32873 字节

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys   46697 字节   

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao 46697 字节
 
写注册表:
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
 
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
 
实现开机自启
 
SysWin64.Sys枚举进程,尝试插入QQ.exe\Explorer.Exe\VerCLsID.exe``
 
随后使用Hook技术(WH_CALLWNDPROCRET勾子)监视发送窗口过程消息``(判断、监视进程)
 
和WH_GETMESSAGE勾子,并拦截GetMessage、PeekMessage等函数返回消息``
 
模拟鼠标和键盘行为操作获得QQ密码(绕过QQ键盘锁)
 
并尝试修改HKEY_CURRENT_USER\Software\Tencent\Gm\和其他等键
 
不过测试时都未实现 :D
 
最后在E:下(其他盘未发现)生成Autorun.inf和AutoRun.exe
 
…………
 
解决方法:
 
[url]http://gudugengkekao.ys168.com/[/url]下载:
 
图片点击可在新窗口打开查看 PowerRmv.com 101KB
 
图片点击可在新窗口打开查看 sreng2.5.zip 780KB
 
下载东西直接放桌面,断开网络``
 
1、打开PowerRmv,选上“抑制对象再次生成”,填入下面路径后点杀灭:
 
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao
 
E:\autorun.inf
 
E:\autorun.exe
2、打开SREng,删除:
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys>   [N/A]
 
3、重启电脑,修改QQ密码```
 
 

你可能感兴趣的:(职场,休闲,SysWin64.Sys)