论坛: 病毒专区 标题: 我的机器中了QQ杀手木马,试了多次无法删除,请教高见! 复制本贴地址    
作者: atree [atree]    论坛用户   登录
我的机器在前段时间中了QQ杀手木马,为了不重新安装系统等最后的方法,我试过重装QQ数次,问题依旧,查找过QQ相关文件,很多无法删除,系统盘内也相关文件,.tmp文件,试过好多方法无法删除或者删除后重新安装QQ又出现。
请教下还有更好的方法么?  系统:windows2000 拨号上网 无防火墙
谢谢帮忙!

地主 发表时间: 06/10 00:28

回复: z7 [skyzz]   论坛用户   登录
转~~~~~~~~~~QQ杀手6.75和6.80版的手动杀除方法及专杀工具(转)
在新年前的最后一周(2003-01-24),一个叫QQ杀手6.75的新木马来到了天天,并于2003-02-10升级为6.8版。天天在提供下载的同时,也对大家发出了“由于其隐蔽性,将不容易卸载,不推荐使用。”的警告。但最近还是有网友误中了这个木马,而且常规的方法无法彻底删除它(本版上就有我们讨论的贴子呀)。瑞星15.21版(2003-02-06更新)尚无法查出此病毒。不甘心之余,今天花了一天的时间,尝试了一下: 
该木马的目标:盗取服务器名、e-mail地址及口令、邮件标题、Password文件、SMTP ID及用户名(不像它的名字宣称的只是盗取QQ密码呀),自动检测并终止防病毒软件的进程(如:kav9x.exe、kavsvc9x.exe、kavsvcui.exe、ravmon.exe、smenu.exe以及watcher.exe等); 

中毒时的症状: 
当前进程中多出eSplorer.exe(6.8版为explorerA.exe); 
防病毒软件实时监控被莫名其妙地关闭并且无法重新打开; 
各文件夹中出现随机文件名的*.exe文件,而且删除了还会再产生(文件大小一般在139264字节(6.8版为106496字节)左右); 

注册表中被新建的键值(下列键值中在括号外的为6.75版,括号内的为6.8版的表现): 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run "Explorer" "随机文件名" (进程中为eSplorer.exe)("EXPLORER" "随机文件名"(进程中为explorerA.exe)) 
HKEY_CLASSES_ROOT\ win675 "youxiang_mima" (\win68 "youxiang_mima") 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "mima_wenjian" (\win68 "mima_wenjian") 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "fasong_youxiang" (\win68 "fasong_youxiang") 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "yonghu_ming" (\win68 "yonghu_ming") 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "fasong_zhuti" (\win68 "fasong_zhuti") 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "smtp_biaozhi" (\win68 "smtp_biaozhi") 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\win675 "fuwuqi" (\win68 "fuwuqi") 

注册表中被修改的键值(下列键值中在括号外的为6.75版,括号内的为6.8版的表现): 
HKEY_CLASSES_ROOT\ chm.file\ shell\ open\ command "(默认)" 随机文件名 %1 ("(默认)" 随机文件名 %1) 
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command "(默认)" 随机文件名 "%1" %* ("(默认)" 随机文件名 "%1" %*) 
HKEY_CLASSES_ROOT\ inifile\ shell\ open\ command "(默认)" 随机文件名 %1 ("(默认)" 随机文件名 %1) 
HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command "(默认)" 随机文件名 %1 ("(默认)" 随机文件名 %1) 
HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command "(默认)" 随机文件名 %1 ("(默认)" 随机文件名 %1) 
HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command "(默认)" 随机文件名 %1 ("(默认)" 随机文件名 %1) 
可见,所有*.chm,*.exe, *.ini, *.reg, *.scr, *.txt文件皆被关联。如果用户删除了那些随机文件名的病毒拷贝,则上述相映类型的文件将无法正常打开! 

手动删除的方法: 
终止eSplorer.exe(6.8版为explorerA.exe)进程; 
将regedit.exe复制或改名为regedit.com,并运行regedit.com(因为*.exe文件已经被关联了,直接运行regedit.exe会使病毒重新加载。) 
删除注册表中的下列项(下列键值中在括号外的为6.75版,括号内的为6.8版的表现): 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ EXPLORER字符串值,对应程序为随机文件名.exe(EXPLORER字符串值,对应程序为随机文件名.exe) 
HKEY_CLASSES_ROOT\ win675主键(win68主键) 
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ CLASSES\ win675主键(win68主键,实际上此处的CLASSES都可以直接删除) 

修改下列键值如下: 
HKEY_CLASSES_ROOT\ chm.file\ shell\ open\ command "(默认)" "%windir%\hh.exe" %1 
HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command "(默认)" "%1" %* 
HKEY_CLASSES_ROOT\ inifile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1 
HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command "(默认)" regedit.exe "%1" 
HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command "(默认)" "%1" /S 
HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1 

重新启动,然后: 
删除(建议先在软盘上备份,以免误删除)各文件夹内修改时间在2003-01-01至2003-12-31间的所有大小为139264字节(6.8版为106496字节)左右带有随机文件名的.exe文件; 
查找并删除msread.dt和winpao.exe病毒安装源程序; 
查找并删除eSplorer.exe(139264字节)(explorerA.exe(106496字节))。 

杀毒中的体会(反复测试了6次了): 
它一开始在HKLM\...\Run下创建的启动键值并非直接指向eSplorer.exe(explorerA.exe),而是指向一个随机文件名,并运行此文件;此后似乎它自己做了一下判断,如果目标目录已经有eSplorer.exe(explorerA.exe)文件,则启动它们,作为进程载入系统。如果没有则生成eSplorer.exe(explorerA.exe)服务端;但无论如何都会自己再生成一些病毒拷贝,因此,病毒被发现得越晚,查到的病毒拷贝越多。。。(我的感觉是这样) 

它多次利用了Recycled目录保存自己的副本(还记得用Recycled目录隐藏文件的方法吗?),因此,在删除关联文件的键值时,应该采用删一个键值就同时删一个文件的方法(最后还应该再统一查找一遍),以免遗漏。如果在Recycled目录下无法看到键值对应的病毒文件,应运行winfile直接进Recycled目录,找到并彻底删除它。 

再次测试并修改。 
瑞星刚升级的15.22版可以查QQ杀手6.75了,但6.8还不行

QQ杀手专杀工具v1.2下载点   http://bbs.kingsoft.net/index.php?s=89e2af76ce2961cce73bb1e58292ccac&act=Attach&type=post&id=1609724



B1层 发表时间: 06/10 00:48

回复: atree [atree]   论坛用户   登录
十分谢谢您的帮助,现在我的机器应该比较干净了~  再次谢谢!

B2层 发表时间: 06/16 01:22

回复: wesen7s8w [wesen7s8w]   论坛用户   登录
期望达人能提供QQ杀手7.001木马的解决问题!期待中

B3层 发表时间: 09/25 16:12

回复: dormouse [dormouse]   论坛用户   登录
其实你可以通过QQ杀手得到一个邮箱(当然是对方邮箱了)的,但可惜的是你给删除了。55555

B4层 发表时间: 09/28 09:10

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号