木马 System16.ins System16.jup 解决方案_电脑软硬件应用网_国内最受关注的计算机应用解决中心

首页·电脑学院·电脑故障·操作系统·硬件教程·局域网技术·QQ技巧·网络安全·办公软件· 数据库

导航·设计学院·图像处理·网页设计·软件教程·服务器技术·笔记本·专家装机·网络编程·在线问答

当前位置：电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文

木马 System16.ins System16.jup 解决方案

木马 System16.ins System16.jup 解决方案

2007-7-17 8:54:57　　文/海色の月　　出处:C.I.S.R.T 　　

病毒名称：Trojan-Spy.Win32.Delf.vw [exe]（Kaspersky）
病毒别名：Trojan.PSW.Win32.Agent.qa [exe]（瑞星）
病毒大小：23,285 字节
加壳方式：UPX
样本MD5：eb7423cd13b67cf1a9ea24dd2bee541f
样本SHA1：a086686d52a147dc63d97eb54911b74eb6e947d0
发现时间：2007.7
更新时间：2007.7.12
关联病毒：
传播方式：通过恶意网页传播、其它木马下载

技术分析
==========

木马运行后将自身复制到：
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup
释放dll注入进程：
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins

创建ShellExecuteHooks启动信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{014A26F5-FBAD-4549-9CA1-C38210704BD1}"=""

[HKEY_CLASSES_ROOT\CLSID\{014A26F5-FBAD-4549-9CA1-C38210704BD1}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins"

在注册表中添加信息：

[HKEY_CURRENT_USER\Software\Tencent\Ie]
"First"

尝试访问网络下载其它病毒、木马或恶意程序保存到%temp%目录下。

清除步骤
==========

1. 删除病毒创建的ShellExecuteHooks项(开始菜单－运行－输入“regedit”)：

[HKEY_CLASSES_ROOT\CLSID\{014A26F5-FBAD-4549-9CA1-C38210704BD1}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{014A26F5-FBAD-4549-9CA1-C38210704BD1}"

2. 重新启动计算机

3. 删除文件(如遇提示无法删除文件，到down.45its.com下载费尔木马强制删除器工具进行强制删除)：
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins
%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup

4. 删除注册表内容（开始菜单－运行－输入“regedit”）：

[HKEY_CURRENT_USER\Software\Tencent\Ie]

上一篇文章：弹出算卦网的下载型病毒的解决

下一篇文章：木马 wdapri.dll 解决方案

最新热点		最新推荐		相关文章
				删不掉的"淘宝图标"来侵教你删"淘宝… 微软高危漏洞"快捷方式自动执行"手工… acad.vlx删除方法 360se.exe病毒清除解决方案 regedit32.exe 病毒清除解决方案 3874jr98.exe,long.exe等病毒清除解… RG8.tmp病毒清除解决方案 139ujf939.exe,2.exe等病毒清除解决… EntSoQn.exe病毒清除解决方案 360safess.net.exe等病毒清除解决方…