一波三折搞定QQ木马病毒

时间：2006/3/5 22:01:00人气：0次作者：佚名我要评论(0)

前几天，同学在QQ上收到一个人传来的文件(见图1)，十分欣喜地打开，结果什么都没有，然后就发现自己也在不停地给人传文件，于是找我帮忙清除。其查杀过程一波三折，现成此文，以供大家参阅。

　　

　　1.轻松搞定伪装品

　　先删除了他接收到的文件，然后用进程查看软件TroyanFindInfo(下载地址:http:// nj.onlinedown.net/soft/36670.htm)查看一下系统中所有进程。很快发现了一个很奇怪的进程(见图2)，虽然名称是RUNDLL32.EXE，但其他的诸如版本、产品名、说明都和微软的RUNDLL32.EXE不同。

　　

　　另外，该文件保存在System目录下，而同学的系统是Windows 2000，系统自带的RUNDLL32.EXE应该保存在System32的文件夹中�；谝陨系呐卸希醪蕉隙ǜ媒涛韭斫�，于是就用TroyanFindInfo中的“Edit→Kill process”(编辑→结束进程)关闭掉该进程。同时把C:\WINNT\System\目录下的木马原文件也删除。最后在注册表中查找所有的开机自启动项目，找到和刚才删除的RUNDLL32.EXE有关的键值即可。

　　小提示

　　★进程查看软件很多，比如以前介绍过的IceSword，本文介绍的TroyanFindInfo等。我个人喜欢用TroyanFindInfo，因为它比较小巧，信息也比较全面，实用。当你自己不能判断出进程文件时，还可以点击“Save”(保存)按钮，保存好LOG文件，然后传给高手，让他帮忙分析。

　　★以前大多数QQ病毒都是通过发送病毒网站地址来传播的，现在也有不少通过QQ直接发送病毒文件，比如，使用图片图标的EXE文件，大家在接收来自好友或陌生人的消息及文件时一定要提高警惕，最好先询问一下对方是否发过该信息或文件，以免无畏中招。

　　★开机自启动在注册表里的具体位置可以参见本刊2005年第1期的《中毒后遗症，妙手来清除》。

　　2.清除病毒的“幕后黑手”

　　本来以为是一个Easy Case，可刚回到家，同学就打来电话说好像木马没清除干净。过去一看，果然又出现了原来的状况。按照刚才介绍的方法先行处理过后，再回想一下整个操作，推断出可能木马把自己的分身隐藏到了系统的某个角落。

于是打开“我的电脑”，在菜单栏上点击“工具→文件夹选项”，在弹出的“查看”选项卡里将“隐藏受�；さ牟僮飨低澄募�(推荐)”和“隐藏已知文件类型的扩展名”两项的勾选去除，再选中“隐藏文件和文件夹”里的“显示所有文件和文件夹”(见图3)。

　　

　　进入系统目录里，仔细看了一下WINNT、System、System32的目录，果然不出所料，发现了“.exe”和“notepad.exe”两个特殊的文件，根据刚才查杀System目录下RUNDLL32.EXE的经验，这些文件既不是系统自带的程序，文件的属性又和刚才删除的RUNDLL32.EXE属性类似，可以推断出这些文件就是木马文件，自然将其删除。最后，再去注册表，检查一下所有的启动项目。

　　小提示

　　★系统自带程序都有各自特定位置和图标，比如开始要删除的“RUNDLL32.EXE”，如果是系统自带程序，那在Windows 2000/XP中保存在系统目录里的System32文件夹里。

　　★类似于“ .exe”和“notepad.exe”这类的木马文件的命名抓住了人们心理上的弱点，对相似东西会忽略掉。如果隐藏了扩展名，本例中的这两个文件粗粗看一眼就很容易忽略掉�；褂幸恢志褪怯帽冉侠嗨频淖帜富蛘呤掷创�，达到混淆的目的，比如“I”(大写I)、“l”(小写L)、“1”(数字1)或者是“O”(字母O)“0”(数字0)就很容易拿来混淆。

　　3.最终善后

　　好事多磨，当我正暗自得意时，突然发现所有应用程序都无法使用，还弹出如图4所示提示，于是继续解决问题:到Window的系统目录里把“Regedit.exe”的扩展名改为COM，不理会警告再运行，即可打开“注册表编辑器”，然后再到[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]将“默认”键值改回“%1 %*”。再以“”和“notepad”为关键词进行搜索，结果又发现注册表的一处键值，即[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]也被修改成了“notepad %1”，修改回默认的“NOTEPAD.EXE %1”即可。

经典轻变传奇网站在线观看_1.76情怀赤月手游传奇_传奇sf1.76版本低_我本沉默传奇手游贴吧

一波三折搞定QQ木马病毒

相关文章

猜你喜欢

网友评论

热门评论

最新评论

已有0人参与，点击查看更多精彩评论

推荐文章

最新文章

文章排行

经典轻变传奇网站在线观看_1.76情怀赤月手游传奇_传奇sf1.76版本低_我本沉默传奇手游贴吧

一波三折搞定QQ木马病毒

相关文章

猜你喜欢

网友评论

热门评论

最新评论

已有0人参与，点击查看更多精彩评论

推荐文章

最新文章

文章排行

已有0人参与，点击查看更多精彩评论