词条 | Win32.Troj.QQRobber.xie |
释义 | 病毒标签病毒别名:N/A 处理时间:2006-12-08 威胁级别:★ 中文名称:N/A 病毒类型:木马 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为该病毒是一个QQ大盗变种。该病毒会将盗取的QQ号及密码发送到指定的电子邮箱和提交到指定的网址。建议电脑用户不要随便运行不明程序,以免中毒受害。 1、病毒拷贝自身到系统目录下,并设置为隐藏。 %SystemRoot%\\system32\TdHcP.exe 2、删除QQ保护文件npkcrypt.sys,并保存为npkcrypt.bak文件。 D:\\Program Files\\Tencent\\QQ\pkcrypt.sys 3、添加注册表启动项 HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run "NTdhcp" = "%SystemRoot%\\system32\Tdhcp.exe" 4、安装了一个类型为WH_JOURNALRECORD的消息钩子,记录连续的鼠标和键盘事件。 其申请进程为:%SystemRoot%\\system32\TdHcP.exe 5、将下列服务启动全设置为禁止启动,并结束其进程。 HKLM\\SYSTEM\\CurrentControlSet\\Services\avapsvc\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\RsRavMon\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\RsCCenter\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\kavsvc\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\KVSrvXP\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\KVWSC\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\wscsvc\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\KPfwSvc\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\KWatchSvc\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\SNDSrvc\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\ccProxy\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\ccEvtMgr\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\ccSetMgr\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\SPBBCSvc\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\Symantec Core LC\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\PFMntor\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\MskService\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\FireSvc\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\McShield\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\McTaskManager\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\McAfeeFramework\\Start HKLM\\SYSTEM\\CurrentControlSet\\Services\\RfwService\\Start 7、尝试删除下列启动项,并结束其进程。 HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\RavMon HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\KAVPersonal50 HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\RavTimer HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\RavTask HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\KvMonXP HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\iDuba Personal FireWall HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\KAVRun HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\KpopMon HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\Kulansyn HKCU\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\iDuba Personal FireWall HKCU\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\KavPFW HKCU\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\KvXP NOTFOUND HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\ccApp HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\SSC_UserPrompt HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\AV CfgWiz HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\MCAgentExe HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\McRegWiz HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\MCUpdateExe HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\MSKAGENTEXE HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\MSKDetectorExe HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\VirusScan Online HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\VSOCheckTask HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\McAfeeUpdaterUI HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\etwork Associates Error HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\ShStatEXE HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\VSOCheckTask HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\KavStart HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\RfwMain HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\SonudMan HKLM\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\KvPpWall_autorun 8、生成并运行Deleteme.bat批处理文件,实现自删除。 清除KILL安全胄甲最新版本可检测/清除此病毒。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。