查人人中国名人网武警四川总队李甫勇:~!KqVo4c.exe是什么病毒呀/怎样杀死它?
来源:百度文库 编辑:查人人中国名人网 时间:2024/05/04 20:41:39
C:\DOCUME~1\Jack\LOCALS~1\Temp\
威胁:PWSteal.Lemir
操作及结果:删除
操作说明:已成功地删除了文件。
源计算机:本地主机
扫描类型:自动防护扫描
每次开机都会有这个/怎样能辙底清除呢/
是上QQ的时候中的
相关病毒文件:
~!KqVo4c.exe
comime.exe
DHelp.dll
msinthk.dll
QQDHelp.dll
wmimgr.exe
病毒通过QQ发送文件的方式传播,发送的文件名极具诱惑,以<文件名>.jpg.exe的形式发送,图标见附件。
病毒需要接收并运行后才会感染系统,运行后会显示一个错误对话框(见附件)。
病毒在注册表中添加一下信息,禁止用户打开“任务管理器”和“注册表编辑器”:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001
在注册表中添加标志信息:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
还会查找瑞星和QQ的信息,据说发现瑞星会删除瑞星的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav
病毒自身复制到系统目录下,文件名为wmimgr.exe。
病毒还会修改一些系统程序文件和QQ程序文件,在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息,会被修改的系统文件有:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
还有一些QQ程序也会被修改,比如QQGame.exe等。
病毒释放DHelp.dll到以下目录:
%Windows%\
%System%\
%System%\wbem\
QQ目录,如%ProgramFiles%\Tencent\QQGame\
释放QQDHelp.dll到%ProgramFiles%\Tencent\目录。
添加自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation"="wmimgr.exe"
病毒还会从网站上下载另一个盗密码的病毒程序到系统中:
%USERPROFILE%\Local Settings\Temp\
~!KqVo4c.exe
~H32Jvk.jpg
复制自身到系统目录,文件名为comime.exe,释放msinthk.dll。
建立自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
[color=Blue]清除步骤:
这次的清除不像以前清除一般木马病毒那么简单,因为它还修改了系统文件,所以有几个步骤可能会繁琐一些。
首先,我们还是先把病毒的进程结束掉:
%System%\wmimgr.exe
%System%\comime.exe
然后搜索并删除病毒文件:
%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll
病毒文件删除以后,我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置,方法很多,这里就不一一介绍了,如果不会操作,这里提供了一个REG注册表文件,直接双击运行后导入注册表即可恢复禁用。
接下来就可以到注册表编辑器删除病毒建立的启动项了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"
注:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox,这个位置应该是病毒建立的“标志”,该位置如果存在,貌似病毒运行后不会进行过多的“动作”,且会自动退出进程。
故可以不删除。
好了,病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件,所以我们先要恢复%System%\dllcache\下的系统文件。
explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到,比如安装光盘或ServicePack保存的目录,也可以从其它相同操作系统(相同SP)中复制过来。
如果是从安装盘I386目录下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通过expand命令可以解压缩它们,命令类似:
Code: [Copy to clipboard]
expand explorer.ex_ explorer.exe
得到正常的源文件后,我们依次进行覆盖操作。
先覆盖:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然后再覆盖或删除:
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
对于被修改的QQ文件,方便的话重装覆盖一下QQ即可。