ftony712 - 2008-3-24 10:49:00
我的电脑中了病毒,用杀毒软件杀毒以后,没有问题,然后一旦链接网络就会出现,在systen32目录下有qoq.exe 出现,将进程中止后在杀毒,上网后仍会出现,请高手指点,谢谢
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)
baohe - 2008-3-24 10:53:00
| 引用: |
【ftony712的贴子】我的电脑中了病毒,用杀毒软件杀毒以后,没有问题,然后一旦链接网络就会出现,在systen32目录下有qoq.exe 出现,将进程中止后在杀毒,上网后仍会出现,请高手指点,谢谢
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)
……………… |
貌似比较菜的一个病毒。必须完全关闭其它安全软件以及Tiny的windows security,此毒才能完整运行。否则,系统陷入死机状态。
1、此毒完全运行后,结束瑞星及SSM进程。SSM不能重新运行(报“驱动丢失”)。此毒貌似想模仿“磁碟机”。但是,它运用系统程序cacls.exe搞鬼的技艺远远不如“磁碟机)。
2、创建的病毒文件:
c:\windows\soundman.exe(隐藏)
c:\windows\system32\rav.exe
c:\windows\system32\ttjj1.ini
c:\windows\system32\qoq.exe(后来访问网络下载的)
3、注册表改动:
(1)HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加:soundman(指向c:\windows\soundman.exe)
(2)IFEO劫持ctfmon.exe(指向c:\windows\soundman.exe)
4、此后,tiny防火墙拦截到N多端口扫描。这些端口扫描均不能突破tiny防火墙。
5、杀毒:
结束进程。删除病毒文件;删除病毒加载项、IFEO劫持项。完事。以上内容是我在版主之家回复一个帖子的内容。他提供的样本文件名:SSSO.EXE
ftony712 - 2008-3-24 11:03:00
谢谢斑竹的回复,我想问的是,目前又没有杀毒软件可以清除呢,我市菜鸟,如果让我自己来操作,可能有难度,谢谢
baohe - 2008-3-24 11:33:00
| 引用: |
【ftony712的贴子】谢谢斑竹的回复,我想问的是,目前又没有杀毒软件可以清除呢,我市菜鸟,如果让我自己来操作,可能有难度,谢谢
……………… |
SSS0.EXE的多引擎扫描结果:
附件:
1558472008324112140.jpg
© 2000 - 2026 Rising Corp. Ltd.