一心想把地种好,没想长出一地草!

今天遭遇qqhelper.mo 病毒

上一篇 / 下一篇 2006-10-30 19:38:54 / 个人分类：电脑网络

查看( 251 ) / 评论( 1 )

5s*N)B"`*M}0今天上网，惯例用avgas扫描，发现一个qqhelper.mo 病毒，感染两个文件，分别在C:\WINDOWS\system32\drivers和C:\WINDOWS\system32文件夹下名字是tiazve88.sys和tiazve88.dll！

怎么也清除不掉，无奈查资料，最后有几种方法便试了其中一种，还行清除掉了！发出来和大家分享一下：

,T1R5?@F*H Gr'm8}01：

,S,](c2s1S;Zk0下载一个叫unlocker的软件，很小的，然后安装。 C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器，分别在
E/M1P,Q*u0HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
*_KQ"`-nm_de9j0HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
w5E}r#E W9t0HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HE&r XOH0下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）

2：另外一种；

一：首先下载Windows清理助手
     官方下载地址：
    http://www.arswp.com/download/arswp/arswp.rar

    然后下载这个文件，将virus.ini复制到清理助手 INI文件夹中!
    http://www.arswp.com/bbs/attachment.php?aid=12

    进入安全模式清理，将木马病毒拉到黑名单，然后去C 盘下搜索该病毒，竟然没有发现。

?;l&v,mrg0 将电脑退出安全模式，重新启动，启动速度突然变得很快，而且不再出现木马提示了！

0aY'[|*[^l0

|6Z1EHX'X~ dcd0附：网友遭遇此病毒之删除方法，好象方法一样：

原疮清除木马程序 Trojan-Downloader.Win32.QQHelper.mo（卡巴斯基6.0.0.300,最新病毒库只能查无法清除)

晚上LP开机正准备登录QQ时，卡巴突然传出刺耳的杀猪声，提示发现木马： Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\klseoq72.dll，文件:: C:\WINDOWS\system32\drivers\klseoq72.sys,然后一阵扫描并强制重启，本以为重启后卡巴能将病毒干掉，谁知重启进入系统后再次提示发现此病毒，并强行重启，如此陷入不停发现病毒－强行重启－再发现病毒的死循环。看来得自己动手清除了,清除过程如下：
m0Bauk4x'\$G_7K0
   进入安全模式，先手工结束explorer.exe进程，然后查找klseoq72.dll与klseoq72.sys，手工删除失败后，再进注册表搜索klseoq72.sys，发现此木马位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet01\Services;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet02\Services;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet03\Services中名称均为klseoq72,先将其服务项删除，再搜索klseoq72.dll并将有关键值与项也一并删除，重启电脑进安全模式，以为能手工删除klseoq72这两个文件了，却发现再次失败，看来此木马做成驱动服务级了，安全模式下手工也无法删除。
0D bk6wKj1gm0
   如果分区为FAT32就好办了，直接去DOS下干掉（此处猪8J同志就会说了,谁叫你用NTFS，你就用刀子捅他),但本硬盘所有分区均为NTFS，又不想去翻箱倒柜找WINPE/ERD2003光盘,咋办呢?想到D盘中有以前下载的N度提供的remotehelp.zip,此包中有unlock,想试试unlock是否能删除,于是重启电脑进正常模式,先还是老规矩结束explorer.exe再运行,接着安装unlock,再查找klseoq72.sys/klseoq72.dll,对着这两个文件右击,选"unlock",此时就会出现一个对话框,显示被system进程占用,不用理会它,再点弹出的对话框中的"unlock",然后就可以删除这两个难缠的文件了,如果还不能删除那就再unlock一遍!最后再进注册表搜索klseoq72.sys/klseoq72.dll.将找到的项与值全部干掉,最后重启电脑,发现没有了杀猪声是多么美妙的一件事呀.
/U.B'VzA2n0
xX'[y:_0    上网查了一下 Trojan-Downloader.Win32.QQHelper.mo,发现此木马是QQ某个表情带的,自己用的是珊瑚虫版而非官方版,不知是否与此相关?
a.b?%rJ[BzG0
   此木马在系统中会随机生成dll与sys文件,我电脑中的klseoq72.dll/klseoq72.sys可能与你电脑中的不一样,如有雷同,纯属巧合!

~/aI5\%H0    仓促之间完成此贴,难免有不足之处,请各位见谅,如有网友中此木马可参考我的清除思路,不必生搬硬套.谢谢!还是那句话:对制造病毒/恶意/流氓软件的人,抓住后强烈建议对男的先切JJ再送黑煤矿做苦工,女的送乌干达\卢旺达\刚果(金)

+_ynP{0P/L Vj-}jH0    最后感谢CCTV,感谢MTV,感谢天极,感谢我的LP!
(}9Rz9d+xzBb0中国教程网--个人空间pJUmz2j