吊影的博客网

这一两天qq又莫名其妙的显示被迫下线，已在别处登陆。又是讨厌的qq病毒，都不知道怎么中的，8成又是5q电影上挂的零碎。唉！明枪易躲，暗箭难防啊！
关qq时，系统警告内存什么“rewritten”之类，关机时，总显示程序qqGsExe还未结束。下面是网上别人的介绍：
------------------------------------------------------------------------------------------------------------------------------
这个木马的资料：

这是一个盗窃QQ密码的木马病毒，该病毒会监控QQ登陆窗口，和QQ游戏登陆窗口，记录用户的键入信息，把记录下来的信息发送给木马种植者。

1.生成文件:
%Program Files%\Internet Explorer\PLUGINS\new123.dll
%Program Files%\Internet Explorer\PLUGINS\new123.sys

2.注册组建:
HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32
@
"C:\Program Files\Internet Explorer\PLUGINS\new123.sys"
HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32
ThreadingModel
"Apartment"

3.添加shell组建,使病毒自启动:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB} ""

4.删除npkcrypt.sys，使QQ密保失效。

5.查找 登录QQ游戏 ，QQ密码窗口，记录键盘输入。

6.发敏感信息给木马种植着.
------------------------------------------------------------------------------------------------------------------------------
清理方法：把internet里的那两个文件删了，去注册表里把2里提到的文件删了，至于3提到的，我没发现。大致这样就可以了。

还发现了点其他病毒，就是在c:\windows下有windowss.dll windowss_key.dll，据说这是什么灰鸽子，具体怎么删的我也忘了，总之除了删这两个文件，还在注册表里删了点东西。还有一个是system32下有一个system_yes.dll隐藏文件，找不到相关资料，直接删了。

——上午去宏博搞定宿舍。中午去看房子，二室一厅要900，800都不行，没谈成。下午在实验室睡了一觉，不想学习，就把最近处理的一些病毒写一写了。
前段时间不知道突然发什么神经，想看一些电影，就在5q下了一些，不料好多都是夹了零碎儿的，打开的时候狂跳广告，关都来不及。电脑也随之惹了病毒。现象如下：
一开始，在用电脑时，
(1)Norton不时跳出Trojan.PWS.QQPass和Trojan.Dropper这两个病毒提示，并且提示是*.exe，*可能是1—6；
(2)系统进程里会有1.exe,2.exe,4.exe,5.exe之类的东西出现，在system32和Local setting\temp文件夹里也有类似的东西；
(3)XP还有一个“wdfmgr32.exe遇到问题，需要关闭”的提示出现；
(4)关闭qq时，会提示一个什么什么内存读写性质之类的东西；
(5)在结束某个可以进程，忘了具体了，可能是wdfmgr32.exe时，XP提示“BugReport的数据文件不存在，程序退出”；
(6)系统启动后，norton图标显示一小会就不显示了，从开始菜单也不能启动，但进程里显示它是在运行的；
(7)c盘根目录下会多出两个文件夹，名字记不清了，里面各一个dll文件，重起后可删除，但会再出现；
(8)IE浏览器打开时，总是某个固定的大小。
开始的处理：Trojan.PWS.QQPass和Trojan.Dropper在baidu里倒是一搜一大堆，但是没有能解决问题的。norton似乎只能检测不正常的活动，不能根除。在安全模式下用Kav扫描了硬盘，找到二十几个病毒杀了，但是也没什么大作用。于是只能试着手动找下。把(2)中的那些进程结束，删除相应文件，wdfmgr32.exe也同样处理。当时找到了一些在google里都搜索不到的文件，具体记不清了。有一个是taskman.exe，这个文件在windows下也有一个同名文件，我把system32下的删了。还有netcfgw.dll，netcfgw.exe，msdwm.exe，ativ2evxx.exe等等。system32下隐藏的系统文件，*.com文件，名称很容易混淆的一些exe和dll文件，光标移动到上方没有提示功能的文件，都是值得怀疑的东西。c盘下多出的两个系统文件夹也删了。
一番处理后，当时是没感觉到什么起色的，重启后，现象依旧。不过第二天，莫名其妙发生了一点变化，下面是重点了。现象：
<1>norton提示infostealer病毒，还有一个忘记了，但图标可以显示了；
<2>同4，qq打开的速度非常之慢,系统很容易死机；
<3>同(8),即使不使用IE，进程列表里有几个活动的名为system的IEXPLORER进程，C:\Program Files\Internet Explorer\PLUGINS下多了system.sys和system.jmp两个鬼东西；
<4>再一次仔细察看system32时，发现了一个隐藏得系统文件Ravdm.exe，从baidu里知道这个是重点了。
以下介绍Ravdm.exe的处理方法(主要转载至卡卡社区http://forum.ikaka.com/topic.asp?board=28&artid=8156736&page=1一贴,稍有改变)：
先找到System Repair Engineer 2.0.21.505 这个软件，baidu里很容易就找到下载了。
Ravdm.exe是木马wdm.exe的一个变种。除了将原来的驱动文件名ksld.sys改为Rinld.sys（system32\drivers下）之外，其它行为基本不变。
<1>启动System Repair Engineer 2.0.21.505，在启动项目/注册表中找到9，system32\Ravdm.exe一行，去掉勾；
<2>取消qq随系统启动，在启动项目/启动文件夹下。如果系统没有这一项的话，可以不管；
<3>删除注册表中，HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows下的load键值；
<4>重启系统；
<5>分别删除system32\Ravdm.exe, system32\drivers\Rinld.sys,和QQ文件夹下的TIMPlatform.exe；
<6>将TIMPlatfrom.exe改为TIMPlatform.exe；
<7>删除C:\Program Files\Internet Explorer\PLUGINS下多了system.sys和system.jmp，system32下的wintfm.dll。
这样就ok了。
不过我的系统貌似中毒不浅了，呵呵，有闲空的时候得重装了。
希望有朋友批评指正！谢谢！

这个是以前写在别处的文章，copy过来。
鄙人生性懒惰，第一次刻DVD-RAM碟时，懒得看什么使用方法，直接用nero当数据盘刻了。今天要修改数据了，不得不查看下方法，还是学到点东西。
　　其实也很简单，就是先格式化，然后当硬盘(即所谓“光硬盘”)操作就ok了。而问题则处在格式化上。
　　顺便说下，我用的Poineer-111CH刻录机。碟则是Panasonic DVD-RAM，3X，五一在中关村20RMB买的，价钱这个叫便宜阿——比我的Mitsubishi DVD-RW只贵了5RMB，当时吓我一跳，基本是抱着扔20RMB、试一试的心理买的，不过上面全是英文说明，估计是来路不明的货。就目前看来，使用起来蛮不错的。（说来说去都是日货，nnd!来气！）
　　格式化之前，需要在相应驱动器上，右键／属性／录制，把“在这个设备上启用ＣＤ录制”的那个勾去掉，否则格式化不能进行。
　　如果是新碟，没有刻过，放入光驱后，在相应驱动器图标直接右键／格式化，以FAT32格式，选快速格式化，自己弄个名称就行了。
　　像我这样未格式化就先刻过一次的，需要用ｎｅｒｏ将碟上的内容快速擦除（当然，全部擦除也没问题，多大概３０倍的时间而已，嘿嘿，我就这么干了一次，），然后根据网上一部分的方法，此时直接右键／格式化．．．就行了。
　　但我擦除后直接格却不行，网上说是因为Microsoft跟DVD-RAM标准兼容存在点问题，于是听从意见，下载了InCD，安装后再右键／格，就一切ｏｋ了。
　　完成后，完全可以像操作硬盘一样操作光盘了，光硬盘，光移动硬盘，呵呵。就是速度肯定是慢一些了。
　　我也就开始用这么一次，不对的地方欢迎大家留言指正，但是也不要踩得太厉害！

——进程smss.exe原本是Windows自带的system进程。如果Windows任务管理器的启动项中出现了两个smss，其中一个是system进程，原文件在c:\windows\system32下；另一个是用户进程，原文件在c:\windows下，那么占内存较多的用户进程smss是病毒文件。
我是最近一两天中这个病毒的。除了进程的不正常外，还可以明显看出来的c盘根目录下多了Winxp.exe、boot.hta，D盘根目录出现个指向MSDOS的pagefile。就是这几天查资料比较多些，开得网页也杂。不过我感觉似乎是5q的网页上挂了不干净的东西，只要一个开它，Norton开始报警，任务管理器里的进程也狂闪。
下面说一下清除方法。方法是网上的一个达人总结的，在这里记下来，并结合我的清楚过程稍作了些修改，以备后用。
1.终止进程smss.exe。
我用的是HijactThis修复终止的，其他的进程强制终止软件应该也可以。（HijackThis是一个不错的软件，一同绑定的Killbox也蛮好，推荐下！）

2. 删除相关文件。
先把c根目录下的boot.hta 、winxp.exe和D盘下的pagefile删除，然后文件加选项中设置显示隐藏文件和系统文件。然后删除：
C:\MSCONFIG.SY(我没发现这个文件)
C:\Windows\1.com
C:\Windows\ExERoute.exe
C:\Windows\explorer.com
C:\Windows\finder.com
C:\Windows\smss.exe
C:\Windows\Debug\DebugProgram.exe
C:\Windows\System32\command.pif
C:\Windows\System32\dxdiag.com
C:\Windows\System32\finder.com
C:\Windows\System32\MSCONFIG.COM
C:\Windows\System32\regedit.com
C:\Windows\System32\rundll32.com
C:\ProgramFiles\Internet Explorer\iexplore.com
C:\ProgramFiles\Common Files\iexplore.pif

3. 恢复EXE文件关联。
在进行过第2项操作后，exe关联出现了错误，每当开打exe执行文件的时候就会出现“执行操作关联”的对话框，提示选择打开文件的程序。
恢复方法：在“工具\文件夹选项”里选择新建，加入exe，然后点“高级”，在下拉里选择“应用程序”。那位达人的意见是将c:\windows\ 底下的regedit.exe修改后缀regedit.com，试了下，这样做可以，至于这样做对后面产生什么影响我不知道。

！！！删除[HKEY_CLASSES_ROOT\winfiles]项

4. 删除注册表内病毒启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe 1"为"shell"="Explorer.exe"

5. 恢复病毒修改的注册表信息：
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”

(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”

(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”

(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
以上是所有的清除步骤，我做的时候也不完全是按这样的顺序来的。
如果有问题请留言。谢谢！