病毒别名：Trojan-PSW.Win32.QQRob.14d[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个盗取腾讯QQ密码的木马病毒。该病毒表面上号称“最新刷会员教程”，暗中将自己改名为“NTdhcp.exe”，并复制自己到系统目录，

删除病毒原始文件，运行病毒的副本。病毒不停的搜集反病毒软件信息，关闭众多的常见反病毒软件进程，删除反病毒的启动项，关闭反病毒

服务，甚至卸载某些反病毒软件，使得用户机器的安全性能大大下降。然后将窃取用户的qq号码以及密码，发送到木马种植者的邮箱。

1.复制自身到系统目录并改名：

%System32%\Tdhcp.exe

释放临时文件：%systemroot%\\Deleteme.bat删除病毒原始文件，然后运行%System32%\Tdhcp.exe。

2.关闭众多的反病毒软件进程：

FireTray.exe

UpdaterUI.exe

TBMon.exe

SHSTAT.EXE

RAV.EXE

RAVMON.EXE

RAVTIMER.EXE

KVXP.KXP

KVCENTER.KXP

Iparmor.exe

MAILMON.EXE

KAVPFW.EXE

KVFW.EXE

KVMonXP.KXP

KAVPLUS.EXE

KWATCHUI.EXE

KPOPMON.EXE

KAV32.EXE

CCAPP.EXE

MCAGENT.EXE

MCVSESCN.EXE

MSKAGENT.EXE

EGHOST.EXE

KRegEx.exe

TrojDie.kxp

KVOL.exe

kvolself.exe

根据窗口信息关闭进程：

卡巴斯基反病毒单机版

Symantec AntiVirus 企业版

江民杀毒软件 KV2004：实时监视

瑞星

ZoneAlarm

LockDown

天网防火墙个人版

天网防火墙企业版

噬菌体

木马克星

删除反病毒的启动项：

SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run项目下的：

RavMon

RavTimer

KvMonXP

iDuba Personal FireWall

KAVRun

KpopMon

Kulansyn

ccApp

SSC_UserPrompt

MCAgentExe

McRegWiz

MCUpdateExe

MSKAGENTEXE

MSKDetectorExe

VirusScan Online

VSOCheckTask

McAfeeUpdaterUI

Network Associates Error Reporting Service

ShStatEXE

VSOCheckTask

关闭反病毒服务：

RsRavMon

RsCCenter

KVSrvXP

kavsvc

wscsvc

SNDSrvc

ccProxy

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

navapsvc

NPFMntor

MskService

FireSvc

McTaskManager

McShield

McTaskManager

McAfeeFramework

甚至卸载某些安全软件：

密码防盗专家 综合版

3.修改注册表，将自己设置为开机运行。

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"NTdhcp"="%System32%\Tdhcp.exe"

4.获取qq窗口，窃取qq号码和密码，发送到木马种植者的邮箱。