rojan.PWS.QQPass.gKb6木马病毒能够偷取用户的密码信息。此病毒是运用Visual Basic语言编写的，其长度为123,392字节。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会感染安装有Windows 3.x, Macintosh, Unix, Linux操作系统的计算机。

外文名：Trojan.PWS.QQPass.gKb6

发现日期：2002-10-14

病毒类型：木马病毒

传播范围：低

危害级别：低

传播速度：低

病毒介绍：

解决方案：

病毒介绍：

1.此木马病毒一旦被激活并开始运行，它将终止下列程序的运行：

Kav9x.exe

Smenu.exe

Ravmon.exe（仅限在Windows NT 4.0操作环境中）。

2.此病毒会将文件%windir%\otepad.exe更名为%windir%\\Mspad.exe。

3.此病毒会将其本身复制到下列文件中：

%windir%\\Eudcedit.exe

%windir%\\Freecell.exe

%windir%\\Kaedit.exe

%windir%\\Msscr.exe

%windir%\otepad.exe

%system%\\Mstray.exe。

其中：%windir%和%system%是变化的，此木马病毒会自动寻找机器上的系统目录，并将自身复制到系统目录下，即：

C:\\Windows\\System (Windows 95/98/Me)

C:\\Winnt\\System32 (Windows NT/2000)

C:\\Windows\\System32 (Windows XP)。

4.此病毒能够生成键值:

SystemKav %system%\\MSTRAY.EXE

到注册表编辑器：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中,使得机器启动时病毒就会自动运行。

5.此病毒会对注册表编辑器中下列各项默认键值进行更改：

（1）HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\regfile\\shell\\open\\command的默认键值改为：

(Default) %windir%\\KAEDIT.EXE %1。

（2）HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\scrfile\\shell\\open\\command的默认键值改为：

(Default) %windir%\\MSSCR.EXE %1。

（3）HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\chm.file\\shell\\open\\command的默认键值改为：

(Default) %windir%\\MSSCR.EXE %1。

6.此病毒开始执行后可以做下列活动：

（1）重新启动计算机

（2）打开注册文件

（3）执行屏幕保护程序

（4）打开系统帮助文件。

解决方案：

1.及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的Trojan.PWS.QQPass.gKb6木马病毒。

2.到注册表编辑器:

（1）HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中将键值：

SystemKav %system%\\MSTRAY.EXE清除。

（2）HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\regfile\\shell\\open\\command中将默认键值：

(Default) %windir%\\KAEDIT.EXE %1清除。

（3）HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\scrfile\\shell\\open\\command中将默认键值：

(Default) %windir%\\MSSCR.EXE %1清除。

（4）HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\chm.file\\shell\\open\\command中将默认键值：

(Default) %windir%\\MSSCR.EXE %1清除。