吊影的博客网

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://simmis.yourblog.org/logs/585353.html

这一两天qq又莫名其妙的显示被迫下线，已在别处登陆。又是讨厌的qq病毒，都不知道怎么中的，8成又是5q电影上挂的零碎。唉！明枪易躲，暗箭难防啊！ 关qq时，系统警告内存什么“rewritten”之类，关机时，总显示程序qqGsExe还未结束。下面是网上别人的介绍： ------------------------------------------------------------------------------------------------------------------------------ 这个木马的资料： 这是一个盗窃QQ密码的木马病毒，该病毒会监控QQ登陆窗口，和QQ游戏登陆窗口，记录用户的键入信息，把记录下来的信息发送给木马种植者。 1.生成文件: %Program Files%\Internet Explorer\PLUGINS\new123.dll %Program Files%\Internet Explorer\PLUGINS\new123.sys 2.注册组建: HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32 @ "C:\Program Files\Internet Explorer\PLUGINS\new123.sys" HKEY_CLASSES_ROOT\CLSID\{F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB}\InProcServer32 ThreadingModel "Apartment" 3.添加shell组建,使病毒自启动: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks {F3D0D422-CE6D-47B3-9CE6-C54DD63F1ADB} "" 4.删除npkcrypt.sys，使QQ密保失效。 5.查找 登录QQ游戏 ，QQ密码窗口，记录键盘输入。 6.发敏感信息给木马种植着. ------------------------------------------------------------------------------------------------------------------------------ 清理方法：把internet里的那两个文件删了，去注册表里把2里提到的文件删了，至于3提到的，我没发现。大致这样就可以了。 还发现了点其他病毒，就是在c:\windows下有windowss.dll windowss_key.dll，据说这是什么灰鸽子，具体怎么删的我也忘了，总之除了删这两个文件，还在注册表里删了点东西。还有一个是system32下有一个system_yes.dll隐藏文件，找不到相关资料，直接删了。