SysWin64.Sys簡單清除
Aditional information
基本介紹
- 中文名:SysWin64.Sys
- 外文名:Aditional information
- File size:: 32873 bytes
- CRC32: : 5FD03479
基本信息,行為分析,
基本信息
MD5: 4fda59631385d13c98e470d69ce69196
SHA1: 946d07eba7935b02a5902657a401eccdaee88695
SHA160 : 946D07EBA7935B02A5902657A401ECCDAEE88695
packers: UPX 0.89.6 - 1.02 / 1.05 - 1.24
Languages:Borland Delphi 6.0 - 7.0 字串4
行為分析
運行,釋放:
字串4
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp 32873 位元組
字串1
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys 46697 位元組 字串2
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao 46697 位元組 字串1
寫註冊表: 字串4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
字串7
ShellExecuteHooks
字串2
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys 字串6
實現開機自啟
字串2
SysWin64.Sys枚舉進程,嘗試插入QQ.exe\Explorer.Exe\VerCLsID.exe
字串5
隨後使用Hook技術(WH_CALLWNDPROCRET)監視傳送視窗過程訊息
字串2
和WH_GETMESSAGE勾子,並攔截GetMessage、PeekMessage等函式返回訊息
字串1
模擬滑鼠和鍵盤行為操作獲得QQ密碼(繞過QQ鍵盤鎖) 字串5
並嘗試修改HKEY_CURRENT_USER\Software\Tencent\Gm\和其他等鍵 字串3
不過測試時都未實現 :D
字串2
最後在E:下(其他盤未發現)生成Autorun.inf和AutoRun.exe 字串1
………… 字串7
解決方法: 字串3
http://gudugengkekao.ys168.com/下載:
字串3
PowerRmv.com 101KB
字串6
sreng2.5.zip 780KB 字串7
下載東西直接放桌面,斷開網路`` 字串7
1、打開PowerRmv,選上“抑制對象再次生成”,填入下面路徑後點殺滅:
字串1
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp 字串4
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
字串2
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Tao 字串6
E:\autorun.inf 字串1
E:\autorun.exe 字串6
2、打開SREng,刪除:
字串5
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
字串9
ShellExecuteHooks]
字串1
字串5
3、重啟電腦,修改QQ密碼``` 字串7
