syetem2.jmp是什么进程

发布网友 发布时间：2024-10-22 07:56

我来回答

共1个回答

热心网友 时间：9分钟前

这是一个盗取QQ木马，主程序是system.jmp，最近又化身为system2.jmp和system.2dt在进程里可以看到。是CISRT2006025中WinHook.jmp的变种，system.jmp是exe文件，运行后复制自身到%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp，并释放system.sys，创建ShellExecuteHooks：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system.sys"
添加注册表信息：

[HKEY_CURRENT_USER\Software\Ms\QQHooker6]
尝试访问网络下载其它木马程序。

清除步骤
==========

1. 删除病毒创建的ShellExecuteHooks：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system.sys"
2. 重新启动计算机

3. 删除病毒文件：
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\system.sys

4. 删除病毒添加的注册表信息：

[HKEY_CURRENT_USER\Software\Ms\QQHooker6]