中了Trojan-psw.win32.qqpass.qg,怎么删?
发布网友
发布时间:2024-08-20 17:10
共2个回答
热心网友
时间:2024-08-22 16:27
病毒名称:Worm.Win32.Viking.j(AVP)
病毒别名:
病毒大小:27,113 字节
加壳方式:UPack
样本MD5:0c8ec9ca2b0e1242fe9889c213805d80
发现时间:2006.6.4
更新时间:2006.6.4
关联病毒:
传播方式:通过QQ尾巴、恶意网站传播
技术分析:
1、病毒运行后复制文件到:
%Windows%\rundl132.exe
在当前目录释放文件:
vDll.dll
2、创建启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows]
"load"="%Windows%\rundl132.exe"
3、使用如下命令停止Duba服务:
net stop "Kingsoft AntiVirus Service"
4、感染exe文件,将自己捆绑到正常文件的前端,在病毒“访问”过的目录下生成_desktop.ini文件,里面记录的是感染日期。
病毒感染exe会跳过以下目录,避免感染:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Program Files
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
5、病毒还会发送“Hello,World”ICMP包探测网络,尝试访问局域网内\ipc$、\admin$共享感染其它计算机上的exe文件。
6、设置注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW]
"auto"="1"
7、尝试从恶意网站上下载其它木马程序。
清除步骤:
1、建议使用可以清除该病毒的杀毒软件在安全模式或DOS下(或另一个操作系统)全盘扫描,部分杀毒软件会直接删除被“感染”的exe文件
2、病毒清除后可以删除病毒的启动信息:
[HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows]
"load"="%Windows%\rundl132.exe"
3、做好安全预防工作,如:设置复杂的管理员帐户密码、关闭不必要的(可写)共享、安装系统补丁等等。
热心网友
时间:2024-08-22 16:27
