关于QQ的问题

关于QQ的问题

关 于 最 新 流 行 Q Q 病 毒 ( TopFox ) 的 手 工 清 除 http://bbs.kill.com.cn/viewthread.php?tid=5069 相关病毒文件： ~!KqVo4c.exe comime.exe DHelp.dll msinthk.dll QQDHelp.dll wmimgr.exe 病毒通过QQ发送文件的方式传播，发送的文件名极具诱惑，以<文件名>.jpg.exe的形式发送，图标见附件。 病毒需要接收并运行后才会感染系统，运行后会显示一个错误对话框（见附件）。 病毒在注册表中添加一下信息，禁止用户打开“任务管理器”和“注册表编辑器”： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"="0" "DisableRegistryTools"=dword:00000001 在注册表中添加标志信息：HKEY_LOCAL_MACHINE\SOFTWARE\TopFox 还会查找瑞星和QQ的信息，据说发现瑞星会删除瑞星的文件： HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav 病毒自身复制到系统目录下，文件名为wmimgr.exe。 病毒还会修改一些系统程序文件和QQ程序文件，在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息，会被修改的系统文件有： %System%\dllcache\explorer.exe %System%\dllcache\iexplore.exe %System%\dllcache\notepad.exe %Windows%\explorer.exe %Windows%\notepad.exe %System%\notepad.exe %ProgramFiles%\Internet Explorer\iexplore.exe 还有一些QQ程序也会被修改，比如QQGame.exe等。 注：当系统文件被修改时，系统会出现这样的对话框（见附件）。 病毒释放DHelp.dll到以下目录： %Windows%\ %System%\ %System%\wbem\ QQ目录，如%ProgramFiles%\Tencent\QQGame\ 释放QQDHelp.dll到%ProgramFiles%\Tencent\目录。 添加自启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Management Instrumentation"="wmimgr.exe" 病毒还会从网站上下载另一个盗密码的病毒程序到系统中： %USERPROFILE%\Local Settings\Temp\ ~!KqVo4c.exe ~H32Jvk.jpg 复制自身到系统目录，文件名为comime.exe，释放msinthk.dll。 建立自启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mssysint"="comime.exe" 清除步骤： 这次的清除不像以前清除一般木马病毒那么简单，因为它还修改了系统文件，所以有几个步骤可能会繁琐一些。 首先，我们还是先把病毒的进程结束掉： %System%\wmimgr.exe %System%\comime.exe 然后搜索并删除病毒文件： %System%\wmimgr.exe DHelp.dll QQDHelp.dll %USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe %System%\comime.exe %System%\msinthk.dll 病毒文件删除以后，我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置，方法很多，这里就不一一介绍了，如果不会操作，这里提供了一个REG注册表文件（见附件），直接双击运行后导入注册表即可恢复禁用。 接下来就可以到注册表编辑器删除病毒建立的启动项了： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "mssysint"="comime.exe" "Windows Management Instrumentation"="wmimgr.exe" 注：HKEY_LOCAL_MACHINE\SOFTWARE\TopFox，这个位置应该是病毒建立的“标志”，该位置如果存在，貌似病毒运行后不会进行过多的“动作”，且会自动退出进程。 故可以不删除。 好了，病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件，所以我们先要恢复%System%\dllcache\下的系统文件。 explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到，比如安装光盘或ServicePack保存的目录，也可以从其它相同操作系统（相同SP）中复制过来。 如果是从安装盘I386目录下找，可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件，通过expand命令可以解压缩它们，命令类似： Code: [Copy to clipboard] expand explorer.ex_ explorer.exe 得到正常的源文件后，我们依次进行覆盖操作。 先覆盖： %System%\dllcache\explorer.exe %System%\dllcache\iexplore.exe %System%\dllcache\notepad.exe 然后再覆盖或删除： %Windows%\explorer.exe %Windows%\notepad.exe %System%\notepad.exe %ProgramFiles%\Internet Explorer\iexplore.exe 对于被修改的QQ文件，方便的话重装覆盖一下QQ即可。 通过以上操作应该可以解决问题，以后要注意的是多多提高自己的安全防护意识。 另外略带提一下另一个看似“QQ尾巴”的情况，就是“mop朋友圈”。 近日有用户反应在QQ上经常收到来自好友这样的信息： Quote: 我邀请你进我的朋友圈了，从这里进入 http://friends.mop.com/r.do?a=<号码>&u=<号码>&t=QQ 我在猫扑上建了一个群，从这里加入 http://friends.mop.com/r.do?a=<号码>&u=<号码>&t=QQ 这并不是什么QQ病毒，而是“猫扑mop”一个叫“朋友圈”发送来的信息。如果你登陆“mop朋友圈”并注册用户，且输入过QQ号和密码邀请朋友的话，那么你QQ上的好友就会收到这样的信息。 推测可能是mop使用你输入的号码和密码登陆到QQ服务器，然后搜索好友并发送该信息。邀请过朋友的QQ用户会发现自己的QQ在其它地方登陆过。 接下来再说两个最近几天问得比较多的问题，一个是“Trivial File Transfer Protocol App”的问题，另一个是如何删除rdriv.sys病毒文件。这两个问题都和bot类病毒有关。 “Trivial File Transfer Protocol App”，是TFTP.EXE，系统的一个FTP程序，我们一般不会用到它，但病毒会利用它从被感染机器上下载病毒文件到本地系统，所以如果发现防火墙出现TFTP.EXE要求访问网络的提示，建议永久禁止它访问网络。 说一下rdriv.sys，这是一个RootKit，会被一些病毒、后门程序或木马附带，比较常见的是附带在一些bot类病毒中，用于隐藏病毒文件和相关信息。 如果发现%System%\rdriv.sys删除不了，可以尝试以下操作： 到注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv位置，删除rdriv项，重新启动系统后再尝试删除%System%\rdriv.sys文件，应该可以解决。 安全建议 1. 给系统安装好补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更新和Service Pack) 2. 给系统帐户设置强壮复杂的密码，建议密码为12位以上，字母+数字+符号的组合，并能定期进行修改；另外也可以禁用/删除一些不使用的帐户 3. 经常升级更新杀毒软件（病毒库），条件允许的请设置为每天定时自动更新。安装并使用网络防火墙软件，网络防火墙可以有效地阻挡自来网络的攻击以及病毒的入侵。部分盗版Windows用户不能正常安装补丁的，不妨通过使用网络防火墙等其它方法来做好一定的防护 4. 关闭一些不需要不必要的服务，条件允许的可关闭一些没有必要的共享，包括C$、D$等系统默认的管理共享。完全单机的用户也可直接关闭Server服务 5. 不断提高安全意识！不要随便点击来自QQ、MSN等即时通讯聊天软件上好友或陌生人发来的链接信息，也不要随便接收或打开/运行来自QQ、MSN上好友或陌生人发来的文件/程序，那些很可能是病毒网站的地址或者就是病毒文件；不要随便打开或运行陌生、可疑的文件和程序，比如陌生邮件中的附件等等