冰狐浪子icyfox木马手工清除方案(转)
钉子 发表于 2006-1-5 10:43:04
近期发现有很多网页上有一个叫“冰狐浪子”的木马,其英文名一般为icyfox.js文件,会释放木马,有不少网友也中了此木马。我去亲自中了一个网站(qq92.com)上的该木马,写了一下简单的分析报告和手工清除方案,希望能给大家在清除过程中提供帮助!
技术报告:
1.该木马被运行后,会在系统中生成以下文件:c:/%System%/smss.exe,c:/%System%/system33.exe,c:/%System%/fox.exe,c:/%System%/system32/winpass.exe,c:/%System%/system32/pj.exe,c:/%System%/system32/winsym.exe。(%System%为系统文件夹,xp、98用户为c:/windows,2000用户为c:/winnt)
2.会在注册表中生成HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的smss----------c:/%System%/smss.exe,HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe,HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的smss----------c:/%System%/smss.exe,HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe(%System%为系统文件夹,xp、98用户为c:/windows,2000用户为c:/winnt)
手工清除方案:
1.打开任务管理器(ctrl+alt+del),终止一个叫winsym.exe的进程。(或者直接进入安全模式)
2.删除c:/%System%/smss.exe,c:/%System%/system33.exe,c:/%System%/fox.exe,c:/%System%/system32/winpass.exe,c:/%System%/system32/pj.exe,c:/%System%/system32/winsym.exe文件(%System%为系统文件夹,xp、98用户为c:/windows,2000用户为c:/winnt)。
3.打开注册表编辑器(开始,运行,regedit),定位到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的smss----------c:/%System%/smss.exe,HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe,HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run下的smss----------c:/%System%/smss.exe,HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices下的smss----------c:/%System%/smss.exe(%System%为系统文件夹,xp、98用户为c:/windows,2000用户为c:/winnt),删除smss键值。
发表评论: