SMSS.exe hook.dll fOxkb.sys病毒的手动解决

　病毒名称：Trojan-PSW.Win32.OnLineGames.qw [dll]（Kaspersky）, Rootkit.Win32.Agent.fy [sys]（Kaspersky）
　　病毒别名：Trojan.PSW.Win32.JHOnline.a [exe]（瑞星）, Trojan.PSW.Win32.OnlineGames.dba [dll]（瑞星）
　　　　　 Trojan.PSW.Win32.JHOnline.a [sys]（瑞星）
　　病毒大小：49,664 字节
　　加壳方式：
　　样本MD5：335838f3badbc6532211e19988f008a9
　　样本SHA1：1c13b0d60b8838dcb5581e21f0526b1d6412a5d8
　　发现时间：2007.7
　　更新时间：2007.7
　　关联病毒：
　　传播方式：通过恶意网站传播，其它木马下载

　　技术分析
　　==========

　　木马运行后复制自身到系统目录下：
　　%Windows%\system\SMSS.exe
　　并释放dll：
　　%Windows%\system\hook.dll

　　在当前位置释放驱动fOxkb.sys：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]

　　木马隐藏自身进程，在任务管理器、ProceXP等进程管理程序中不可见。

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"

　　约每5秒重写一次。

　　清除步骤
　　==========

　　1. 使用IceSword(该软件可到www.pc51.net下载)结束木马进程：
　　%Windows%\system\SMSS.exe

　　2. 删除文件(如遇提示无法删除文件，费尔木马强制删除器工具进行强制删除)：
　　%Windows%\system\SMSS.exe
　　%Windows%\system\hook.dll

　　3. 删除木马启动项（详细步骤：打开SREng－启动项目－注册表）：SREng软件也可到www.pc51.net下载

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QQREST"="%Windows%\system\SMSS.exe"

　　4. 删除注册表中木马添加的驱动信息（详细步骤：打开SREng－启动项目－驱动程序）：
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\fOxkb]

　　5. 删除木马释放的驱动文件(如遇提示无法删除文件，到www.pc51.net下载费尔木马强制删除器工具进行强制删除)：
　　fOxkb.sys