|
|
近日笔者的朋友收到一位网友发来的文件,文件名为OICQPASS,图标为一只可爱的小企鹅。那网友告诉他此文件可以增强QQ聊天的保护功能。结果双击运行后却什么提示也没有。但是后来发现任务管理器中有个SMTP任务在运行,后来确定是病毒,并最终清除。
其实朋友中的是OICQ密码杀手病毒,OICQPASS.exe是个主程序,还有xxc.dll文件,里面填写了E-mail地址,只要一运行OICQPASS.exe就被种上了木马,OICQ密码就会被发送到那个xxc.dll文件里面的E-mail中。
笔者利用江民2005和QQ病毒专杀工具查杀,竟然报告未发现病毒,那就手工清除吧。
1.首先删除病毒文件,然后到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找,发现和此OICQPASS病毒有关的两个启动项,一个是病毒文件所在的地址,另一个为C:\WinNT\System32\OICQPASS.EXE,于是分别删除这两个字符串;然后再到C:\WinNT\System32目录下去删除OICQPASS这个文件,但怎么查找也没发现这个文件,笔者以为病毒已经清除掉。重新启动机器,在任务管理器中竟然还有一个SMTP在运行,看来病毒还没有完全清除掉,马上停止了此进程继续查找病毒所在。
2.到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看,C:\WinNT\System32\OICQPASS.EXE这个启动项仍然存在,看来OICQPASS这个文件一定还存在,但为什么找不到它呢?
3.在C:\WinNT\System32中又进行了筛选过滤,发现Winserver这个文件的图标是个小企鹅,这引起了笔者的怀疑,Winserver好像是系统文件但怎么戴个企鹅的帽子?删除这个文件后重新启动机器,机器提示“无法加载或运行注册表指定的Winserver.EXE,请确认文件是否存在你的计算机上,或者删除注册表中对它的引用”。再到任务管理器中检查,一切正常了。
这个病毒挺狡猾,还会用假像迷惑人,它不但在启动项中放了一个烟雾弹,而且生成了一个貌似系统文件的“Winserver”文件。至此手工清除木马病毒过程宣告结束,笔者也长舒一口气,希望这个方法可以帮助有同样问题的朋友。
1. QQ杀手7.001
软件语言: 简体中文
软件类别: 国产软件 / 特别栏目 / 腾讯QQ区
运行环境: WinXP, Win2000, NT, WinME, Win9X
授权方式: 免费软件
软件大小: 731 KB
软件等级:
整理时间: 2003-5-10 (admin)
开 发 商:
下载次数: 本日:190 本周:1094 本月:6528 总计:76067
软件简介: 一款供娱乐用的QQ密码安全工具,可以记录QQ,中游,边锋的密码,如果你想和你的朋友开开玩笑,实施恶作剧,本工具肯定能帮到你!
2. QQ杀手6.75和6.80版的手动杀除方法
windowsQQ杀手
该木马的目标:
盗取服务器名、e-mail地址及口令、邮件标题、Password文件、SMTP ID及用户名(不像它的名字宣称的只是盗取QQ密码呀);自动检测并终止防病毒软件的进程(如:kav9x.exe、kavsvc9x.exe、kavsvcui.exe、ravmon.exe、smenu.exe以及watcher.exe等);
中毒时的症状:
当前进程中多出ESPLORER.EXE;
防病毒软件实时监控被莫名其妙地关闭并且无法重新打开;
各文件夹中出现随机文件名的*.exe文件,而且删除了还会再产生(文件大小一般在136k左右);
注册表中被新建的键值:
HKEY_CLASSES_ROOT win675 "youxiang_mima"
HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "fasong_youxiang"
HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "fasong_zhuti"
HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "fuwuqi"
HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "mima_wenjian"
HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "smtp_biaozhi"
HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "yonghu_ming"
注册表中被修改的键值:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run “Esplorer.exe”或随机文件名
HKEY_CLASSES_ROOT chm.file shell open command "(默认)" 随机文件名”" %1
HKEY_CLASSES_ROOT exefile shell open command "(默认)" 随机文件名”"%1" %*
HKEY_CLASSES_ROOT inifile shell open command "(默认)" 随机文件名” %1
HKEY_CLASSES_ROOT regfile shell open command "(默认)" “随机文件名” "%1"
HKEY_CLASSES_ROOT scrfile shell open command "(默认)" 随机文件名” %1" /S
HKEY_CLASSES_ROOT txtfile shell open command "(默认)" 随机文件名” %1
可见,所有*.chm,*.exe, *.ini, *.reg, *.scr, *.txt文件皆被关联。如果用户删除了那些随机文件名的病毒拷贝,则上述相映类型的文件将无法正常打开!
手动删除的方法:
终止ESPOLRER.EXE进程;
将regedit.exe复制或改名为regedit.com,并运行regedit.com(因为*.exe文件已经被关联了,直接运行regedit.exe会使病毒重新加载。)
删除注册表中的下列项:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run ESPLORER 或随机文件名
HKEY_CLASSES_ROOT win675主键
HKEY_LOCAL_MACHINE Software Microsoft CLASSES win675主键
修改下列键值如下:
HKEY_CLASSES_ROOT chm.file shell open command "(默认)" "%windir%hh.exe" %1
HKEY_CLASSES_ROOT exefile shell open command "(默认)" "%1" %*
HKEY_CLASSES_ROOT inifile shell open command "(默认)" %windir%NOTEPAD.EXE %1
HKEY_CLASSES_ROOT regfile shell open command "(默认)" regedit.exe "%1"
HKEY_CLASSES_ROOT scrfile shell open command "(默认)" "%1" /S
HKEY_CLASSES_ROOT txtfile shell open command "(默认)" %windir%NOTEPAD.EXE %1
重新启动,然后删除(建议先在软盘上备份,以免误删除)各文件夹内修改时间在2003-01-01至2003-12-31间的所有大小为136k左右带有随机文件名的.exe文件。 |
|
发表于 2006-11-11 09:30:47