msapi.dll mssock.sys木马手动解决指南
病毒名称:Trojan.Win32.Agent.anj(Kaspersky)
病毒别名:Trojan.PSW.Win32.Agent.ow [exe](瑞星), Trojan.PSW.Win32.YBOnline.d [dll](瑞星) Trojan.PSW.Win32.Agent.ow [sys](瑞星) Win32.PSWTroj.Agent.ow.114688 [exe](毒霸) 病毒大小:14,140 字节 加壳方式:PE_Patch UPack 样本MD5:e874cb80ce1692a803fac41c8fed8e82 样本SHA1:6ba786b47b3b007d0187005278aa36e8a49326df 发现时间:2007.7 更新时间:2007.7 关联病毒: 传播方式:通过恶意网站传播,其它木马下载 技术分析 ========== 木马运行后释放一个dll和一个sys文件到系统目录下: %System%/msapi.dll %System%/mssock.sys 使用批处理%temp%/delself.bat删除自身原文件:
@echo off
:try del {原文件} if exist {原文件} goto try del %temp%/delself.bat %System%/msapi.dll挂接到WinSock2:
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/WinSock2/Parameters/Protocol_Catalog9/Catalog_Entries]
在SREngLOG中显示形如:
Winsock 提供者
MSAPI Tcpip [TCP/IP] C:/WINDOWS/system32/msapi.dll(, N/A) MSAPI Tcpip [UDP/IP] C:/WINDOWS/system32/msapi.dll(, N/A) 手动清除步骤 ========== 1. 打开SREng(该软件可到down.45it.com下载),到“系统修复”->“Winsock 供应者”,删除 msapi.dll对应的“ MSAPI Tcpip [TCP/IP]”和“ MSAPI Tcpip [UDP/IP]” 2. 重新启动计算机 3. 删除文件(如遇提示无法删除文件,到down.45it.com下载费尔木马强制删除器工具进行强制删除): %System%/msapi.dll %System%/mssock.sys 注:如果重启后系统网络没有恢复正常(比如打不开网页),可以使用WinsockxpFix工具进行修复。 |