Trojan.PSW.QQPass.pdi、Trojan.PSW.QQPass.pax手工查杀【推荐】
该病毒由一个“外挂”程序释放(瑞星对此程序报毒Trojan.PSW.QQPass.pdi)
该病毒包括:
C:\Documents and Settings\(当前用户名)\Local Settings\Temp\zy.exe
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
C:\Program Files\Internet Explorer\PLUGINS\new123.dll(瑞星报毒Trojan.PSW.QQPass.pax)
(另外有时还有一个new123.bak文件)
病毒在注册表中添加键值(Autoruns扫到的项目):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
+ new123.sys c:\program files\internet explorer\plugins\new123.sys
以实现自启动。
比较奇怪的是,new123.sys直接插入进程(都不是核心进程),而不是只用dll文件来实现,在SREng日志中可以看到它插入进程的状况(但SREng日志没有扫描这个注册表项,所以单靠SREng不能搞定)
处理方法:
在注册表中展开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
删除指向c:\program files\internet explorer\plugins\new123.sys的键
重启后显示隐藏文件,找到并删除
C:\Program Files\Internet Explorer\PLUGINS\new123.sys
C:\Program Files\Internet Explorer\PLUGINS\new123.dll(如果有的话)
C:\Program Files\Internet Explorer\PLUGINS\new123.bak(如果有的话)
提示:
若文件找不到或无法删除
建议进入安全模式
打开我的电脑
在工具栏中点击--工具--文件夹选项--查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件(推荐)”前的勾去掉
然后再查找一下
(以上提示引自“不言放弃”的帖子,新手必读,再次感谢不言!)
另外,由于病毒删除了QQ的密码保护程序,做完以上步骤后要重装QQ。
