（病毒样本１４ｋ的ZIP文件上传不了，请版主告知原因。）
收到朋友的求救信号，说中了QQ病毒，告诉他用HIJACKTHIS/MSINFO32加载模块查看/ICESWORD内核模块等的查看，导入干净EXE/TXT/DLL关联.REG文件的方法进行自救但不奏效，于是请他把病毒文件传一份给我。看来不是独立的病毒文件作祟，可能是EXE侵染，或者其它更新的病毒技术。

因为我有两套XP系统，其中一套作为娱乐和家人用，另一套我专用来编程。所以刚好有条件用第二套系统做了一次病毒试验和分析。
因为时间有限，分析了一段时间的代码，又实在受不了该文件美女头像图标的诱惑，就干脆在FILEMoN和REGMON两工具的监视下直接运行了该文件。出现了一个明显欺骗性的对话框。程序错误，已经存入系统日志云云。

之后果然出现了若干病毒症状，遂分析filemon和regmom日志，尤其是filemon,很明显的看
到了病毒文件进行了哪些文件操作，REGMON中的注册表修改除了RUN项之外没有特别的。
跟踪过程和结果：运行染毒文件后，会在c:\Documents and Settings\当前用户\Local Settings\Temp中释放并转移控制权给first.exe,由它释放其它病毒文件：两个５随机字母为名的exe文件，以及在c:\windows和c:\windows\system32各释放同名的DLL文件，以上文件皆为隐藏。此外，此病毒会试图修改regedit.exe/taskmgr.exe/explorer.exe/(可能还有programfiles文件夹下的mdm.exe)/notepad.exe,但似乎由于有系统文件的保护功能，前三者的修改并不奏效，(我的xp安装盘一直放在光驱中，并发现有启动现象，估计系统马上对前三者进行了还原），只有c:\windows\system32\notepad.exe被修改成功并扮演着病毒最后一道自我防线的作用，而不同于以往普通QQ病毒只修改TXT关联。以上所有相关文件，都可以在c:\windows\prefetch文件夹内找到有关的.pf文件的痕迹。这也是病毒编写的疏漏。

总结的处理方法为：

　　在安全模式下，打开文件夹选项中的隐藏系统文件的显示和显示所有文件和文件夹的设置，删除病毒释放的EXE/DLL文件，用干净的以上5个系统EXE文件对可能被病毒修改的文件进行覆盖，包括windows和system32两个文件夹内都覆盖一下，重点是system32\notepad.exe
　　建议安全模式插入XP安装盘，运行sfc /scannow进行系统文件的自动修复，但notepad.exe可能还需要另外找干净版本。
    清空c:\windows\prefetch，c:\Documents and Settings\当前用户\Local Settings\Temp

顶 ~~~~
覆盖之后需不需要修改回注册表被改的项