最新木马程序 Trojan-Downloader.Win32.QQHelper.mo清除方法 bbs.ikaka.com

荣俊哥︻┻┲— - 2006-10-20 16:31:00

在此感谢 “西门吹雪”版主帮忙研究解决！[face15]

首先下载Windows清理助手

官方下载地址：http://www.arswp.com/download/arswp/arswp.rar

然后下载这个文件，将virus.ini复制到清理助手 INI文件夹中!
http://www.arswp.com/bbs/attachment.php?aid=12

最后配合下360安全卫士修复一下
360安全卫士下载地址：http://www.360safe.com/

我是cc - 2006-10-20 17:19:00

为什么我还是杀不掉啊...郁闷!

荣俊哥︻┻┲— - 2006-10-20 17:31:00

【回复“我是cc”的帖子】
该文件已经被清理,但可能被卡吧保护隔离起来了!
你用卡吧应该可以删除了!

beyondself - 2006-10-20 17:34:00

我的卡巴斯基也报警查出了这个Trojan-Downloader.Win32.QQHelper.mo，显示c:\windows\systerm32\olqyyu90.dll是带毒文件，但是总是无法完全清除，即使在安全模式下删除后，启动后依然会带毒。
无奈之下，在注册表中的启动项中删除了该键值，然后开机以光盘启动DOS，进入系统目录手动删除了该文件。
现在应该说已基本清除了该病毒，只是开机时显示调用olqyyu90.dll失败，也就是说病毒文件被清除了，使用正常，但调用病毒文件的钩子仍然存在（似乎是rundll32在调用它）。
如果大家有好办法，可以交流一下。

我是cc - 2006-10-20 17:49:00

楼上说的是.每次开机都会出现这样的状况,谁有什么好办法啊!

我是cc - 2006-10-20 18:36:00

楼上说的两种方法都杀不了的。在安全模式里用卡巴也删除不掉。下面是我手动删除的方法：

下载一个叫unlocker的软件，很小的，然后安装。 C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）

hans1110 - 2006-10-20 19:03:00

YES，结合1楼和5楼的方法杀掉了。
不过1楼里面的virus.ini里内容被我改了，我的病毒名字是：zosils33.dll.而且我安全模式杀不掉，常规模式杀掉的。
谢谢大家。

荣俊哥︻┻┲— - 2006-10-20 19:34:00

【回复“hans1110”的帖子】
杀掉了就好，恭喜一下，哈哈。。。

放羊娃娃 - 2006-10-20 19:40:00

按照五楼的杀了,哈哈

傻傻的坏宝 - 2006-10-20 20:18:00

5楼的兄弟!多谢,这病毒给我折磨坏了!
用了你的方法,问题已经处理!感激不尽!

呼延寒星 - 2006-10-20 20:24:00

对“我是CC兄弟”表示由衷地感谢。这个木马搞的我一天重启无数次，多亏了cc的帮忙。

阳光的味道2 - 2006-10-20 21:27:00

五楼朋友你好，你说的那个怎么操作呀，我这也有解锁的软件，可是，右键没有你说的解锁，再删除，解锁后，说磁盘写保护，或者未满或者确认此程序被执行。总之，不知道怎么删，能加我qq么，指导以下，多谢了：497681330

阳光的味道2 - 2006-10-20 21:57:00

多谢了，谢谢大家了，偶使用的五楼的朋友的方法，不过没有找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
这项，能问问这项什么意思么，，，现在是删除了。，卡巴斯基不叫了，多谢了......

dreamgame - 2006-10-20 22:05:00

引用:

【傻傻的坏宝的贴子】5楼的兄弟!多谢,这病毒给我折磨坏了!
用了你的方法,问题已经处理!感激不尽!
………………

深有同感啊～～～
多谢拉～～～

jiao8 - 2006-10-20 22:18:00

怎么总有这么多的病毒可以烦人呢？？？？

maomaojie - 2006-10-20 22:40:00

5楼的兄弟，太感激你了！这个病毒困扰了我2天，用你的方法一试就灵。

hans1110 - 2006-10-20 22:49:00

现在卡巴更新了好象能直接杀了。

阳光的味道2 - 2006-10-20 22:58:00

偶怎么找不到那一项呀，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
病毒是删除了，可是启动项目表中怎么还提示，键值不为空，存在计算机病毒，帮我看看日志，谢谢大家帮忙了.....http://forum.ikaka.com/topic.asp?board=28&artid=8195931

xywei - 2006-10-21 8:31:00

谢谢五楼，我也清除了

dinggggg - 2006-10-21 9:46:00

unlocker是个什么软件，告知。

高水流水 - 2006-10-21 13:46:00

用楼主的方法把病毒给删了，但重启后出现以下两个对话框~（我是在c\windows\system32\vjvfrp06.dll 发现病毒）
1 Rundll32.exe-损坏的图像
应用程序或DLLc\windows\system32\vjvfrp06.dll为无效的windows映像，请再检测一
遍安装盘
2 RUNDLLc\windows\system32\vjvfrp06.dll时出错%1不是有效window32应用程序

感谢楼主的解答，如能得到回复，将不胜感激~

ftf200405 - 2006-10-21 15:29:00

很感谢5楼的.按他说的做.把那毒杀了

凝望着你 - 2006-10-22 10:05:00

呵呵，谢谢啊，总算解决

hjiang06 - 2006-10-22 21:56:00

感谢“我是CC”。我也解决了

另外我补充一下，我的机器中还有
HKEY_LOCAL_MACHINE\SYSTEM\Controlset003\Services

可能不同的朋友机器注册表有些不同。

另外，还有尾巴。

在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ORHXBN17

好象搞不掉，这样的结果是导致系统再进入安全模式，长时间停顿，估计是在找这个驱动。
看看哪位能进一步彻底割掉这个尾巴。

3517major - 2006-10-22 23:07:00

非常感谢5楼的杀毒方法，本人这几天深受此病毒的烦扰，一直没办法清楚，终于把它给搞定了。而且宿舍里还有两位同学相继中了此病毒，都按照5楼的方法搞定了。特此表示感谢。呵呵，我可是为了表示感谢而特意在今天注册卡卡社区的。

怪物兜兜 - 2006-10-22 23:46:00

但是我同时中了另外的毒,卡巴都打不开了.怎么找呢?

zcam - 2006-10-23 23:23:00

在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ORHXBN17

好象搞不掉，谁有办法啊？谢谢

疤子大虾 - 2006-10-25 23:35:00

被这个病毒搞得机器暴慢，在网上找了n多个方法都杀不了，用了5楼兄弟提供的方法就搞定了，万分感谢！

slater26 - 2006-11-13 13:04:00

你好,5楼的兄弟.按你的方法我清除了其中一个QQHelper.mo病毒(它在我电脑system32下生成是xgkwdj09.dll文件),但奇怪的是在我电脑drivers下面却没有找到相对应的xgkwdj09.sys文件,而卡巴斯基刚好提示此文件是木马病毒Zapchast.ch.这是为什么呢?
在注册表编辑器中:
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset003\Services 下面相对应的xgkwdj09的子项已删除.
但HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 这个下面却没有相对应的xgkwdj09的子项.

搞不懂了,急切盼复中........多谢赐教！！！

瑞星卡卡安全论坛