瑞星卡卡安全论坛

QQ蜜病毒,到现在为止也杀不了

我中了Trojan-Downloader.Win32.QQHelper.mo这个病毒,我去网上找了点文章都是说进安全模式全盘查杀，但都不能成功删除掉，用超级兔子发现该病毒文件名“lpmox”会加载系统自动启动，该进程位于c:\windows\system32\lpmox文件夹内用工具-文件夹选项-查看-显示所有的文件会发现该程序。

下面是这个病毒的一些信息
Trojan.DL.QQHelper
病毒分类 WINDOWS下的PE病毒 病毒名称 Trojan.DL.QQHelper.u
WINDOWS下的木马程序
木马下载器。
能隐秘地从网络上下载文件到本地计算机并运行。

采用VC++和SDK方式编写。

该木马运行后有以下行为：
1、首先保证内存中只有一个自己在运行。

2、该木马还有多项功能，命令关键词语有以下这些：popupie：启动IE浏览器；popupad：弹出HTML对话框显示指定的内容；sethomepage：修改IE首页；update：在未提示用户的情况下从网络上下载文件并运行；genscore：将产生一个名为"Score.txt"的文本文件记录一些信息；setautorun：根据参数添加在SOFTWARE\Microsoft\Windows\CurrentVersion\Run键下添加开机自启动项，等等。命令会根据版本不同而不同。木马会从网络上下载命令文件。

3、该木马还可能通过修改物理内存达到隐藏进程的目的。

某网站已通过该木马疯狂提升ALEXA中的排名。

这是一个QQ表情自带的东西，采用Rootkit技术隐藏自身，正常模式下无法删除，请到安全模式下进行全盘杀毒！

提示：360安全中心论坛说用“木马杀客”或者“木马克星”能够清除，但我没验证过！

我想问下,有没有这个病毒的手动查杀方法.不胜感激~!~

中了Trojan-Downloader.Win32.QQHelper.mo,卡巴提示发现: 木马程序 Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\clokqu67.dll,重起也杀不掉!我错手删除了clokqu67.dll文件后,卡巴到是不报警了.可每次开机都会提示找不到动态连接clokqu67.dll,谁来帮帮我啊!!

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 10:24:03, 日期 2006-10-20
操作系统： Windows XP SP2 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Gadmei\GADMEI TVR\ScheduleTVR.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
D:\DOCUME~1\ADMINI~1\MYDOCU~1\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrator\My Documents\Huawei\PortalServer\218.2.135.36\PortalClient.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\eMule\emule.exe
F:\eMule\update\Update.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Thunder\Program\Thunder5.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.016\hijackthis1.99.1汉化第二版(7月16日).exe
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\Program Files\Super Rabbit\MagicSet\haokanbar.dll (file missing)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - (no file)
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\Program Files\Super Rabbit\MagicSet\haokanbar.dll (file missing)
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - 启动项HKLM\\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [ScheduleTV] C:\Program Files\Gadmei\GADMEI TVR\ScheduleTVR.exe
O4 - 启动项HKLM\\Run: [DAEMON Tools-2052] "C:\Program Files\D-Tools\daemon.exe" -lang 2052
O4 - 启动项HKLM\\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - 启动项HKLM\\Run: [RTHDCPL] RTHDCPL.EXE
O4 - 启动项HKLM\\Run: [SkyTel] SkyTel.EXE
O4 - 启动项HKLM\\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] D:\DOCUME~1\ADMINI~1\MYDOCU~1\NEROPH~1\data\Xtras\mssysmgr.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-151?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-151?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: 卡巴斯基互联网安全套装 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

HijackThis_815汉化版扫描日志 V1.99.1扫描日志

HijackThis_815汉化版扫描日志 V1.99.1
保存于      10:52:34, 日期 2006-10-20
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\avp.exe
C:\WINDOWS\system32\Internat.exe
C:\WINDOWS\system32\spoolsv.exe
F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.188\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - F:\木马~1.杀\超级兔~1.8\MAGICSET\haokanbar.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - F:\木马~1.杀\超级兔~1.8\MAGICSET\haokanbar.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [igfxtray] ; C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [UserFaultCheck] ; %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\Run: [kav] "F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\avp.exe"
O4 - 启动项HKLM\\Run: [Super Rabbit SRRestore] F:\木马.杀毒软件\超级兔子7.8\MagicSet\srrest.exe /autosave
O4 - 启动项HKLM\\Run: [MS-4011 Memory Patch] F:\木马.杀毒软件\病毒检测工具专集\震荡波(Worm.Sasser)”病毒专杀工具\RavSasser.exe -Patch
O4 - HKCU\..\Run: [Internat.exe] Internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - G:\迅雷(Thunder) 5.4.0.226\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - G:\迅雷(Thunder) 5.4.0.226\Program\GetAllUrl.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - G:\迅雷(Thunder) 5.4.0.226\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - G:\迅雷(Thunder) 5.4.0.226\Thunder.exe
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\scieplugin.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\scieplugin.dll (file missing)
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DE49C-0701-46CC-8351-E234F180828B}: NameServer = 61.144.56.100,202.96.128.68
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: 卡巴斯基反病毒6.0 (AVP) - Unknown owner - F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\avp.exe" -r (file missing)
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

顶起来再说!!!

再顶!!!!!!!!

引用:

【我是cc的贴子】中了Trojan-Downloader.Win32.QQHelper.mo,卡巴提示发现: 木马程序 Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\clokqu67.dll,重起也杀不掉!我错手删除了clokqu67.dll文件后,卡巴到是不报警了.可每次开机都会提示找不到动态连接clokqu67.dll,谁来帮帮我啊!! ………………

cc我和你的情况一模一样！只不过我这里的那个文件不是clokqu67.dll,我是phwauu17.dll! 我也是错手删除了那个文件，之后的情况和你一样，然后又通过卡巴恢复了（卡巴有个自动备份的，你可以看一下）。不过现在就是，卡巴一直在提醒我有这个病毒，问我怎么处理！！！！

高手在哪里啊！救命啦~~~~

上面还有一个类似的帖子。大家为什么都是今天中毒了呢？？

我的也是一样啊
高手指点一下啊～～～

大家顶起来啊～～～～

55,我的情况和上面两位仁兄一样，我的文件名是yevfzx21.dll,大虾快来帮忙呀

木马程序 Trojan-Downloader.Win32.QQHelper.mo，QQ蜜病毒,到现在为止也杀不了，卡巴杀毒软件不停在报告，但一直不能成功删除，此程序还能随系统生成另一种程序。
这病毒是今天出现的，我浏览了几个主流的反病毒论坛，几乎每一个都出现了这种病毒，但直到现在为止都找不到解决的办法，郁闷中，我从早上8点到现在一直没得到解决，卡巴不停在报告

附件: 73996020061020144840.jpg

这是怎么拉
没人啊
达人哪去拉
我的机机快不行了啊
救我 啊
卡把？？？？？？？？？
瑞星？？//
ewido?
木马杀克都不行？》？？？？

引用:
【我是cc的贴子】中了Trojan-Downloader.Win32.QQHelper.mo,卡巴提示发现: 木马程序 Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\clokqu67.dll,重起也杀不掉!我错手删除了clokqu67.dll文件后,卡巴到是不报警了.可每次开机都会提示找不到动态连接clokqu67.dll,谁来帮帮我啊!!

………………



cc我和你的情况一模一样！只不过我这里的那个文件不是clokqu67.dll,我是phwauu17.dll! 我也是错手删除了那个文件，之后的情况和你一样，然后又通过卡巴恢复了（卡巴有个自动备份的，你可以看一下）。不过现在就是，卡巴一直在提醒我有这个病毒，问我怎么处理！！！！

高手在哪里啊！救命啦~~~~

上面还有一个类似的帖子。大家为什么都是今天中毒了呢？？




发贴时间:2006-10-20 14:05:


呵呵  我的也和你门的一样啊
今天把他强删了
开机就叫
烦死人了
怎么没人管管啊

楼主先这样试一下
结束
C:\WINDOWS\system32\Internat.exe
修复
O4 - HKCU\..\Run: [Internat.exe] Internat.exe
重启，删除相应文件
好不好用都回复一下，谢谢

楼上讲的没看明白什么意思!

我也中了，杀除了启动就提示找不到模块，等侍！谢谢 ！1

我也中了这个该死的，卡巴总弹出提示，杀也杀不掉，删也删不了。折腾一天了，试过了N多方法。c:\windows\system32\zvzqxc98.dll就是删不掉啊，提示正被使用:(

终于搞定了............


这个病毒在安全模式里用卡巴也删除不掉的，下面是手动的方法。
下载一个叫unlocker的软件，很小的，然后安装。 C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）