瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】请问qoq.exe是什么病毒引起的?

1   1  /  1  页   跳转

【原创】请问qoq.exe是什么病毒引起的?

收藏
ftony712
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-03-24
  • 来自:
发表于: 2008-03-24 10:49 | 只看楼主 短消息 资料
字号: 1楼

【原创】请问qoq.exe是什么病毒引起的?

我的电脑中了病毒,用杀毒软件杀毒以后,没有问题,然后一旦链接网络就会出现,在systen32目录下有qoq.exe 出现,将进程中止后在杀毒,上网后仍会出现,请高手指点,谢谢

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)
最后编辑2008-03-24 11:33:42.717000000
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-24 10:53 | 短消息 资料
字号: 2楼

引用:
【ftony712的贴子】我的电脑中了病毒,用杀毒软件杀毒以后,没有问题,然后一旦链接网络就会出现,在systen32目录下有qoq.exe 出现,将进程中止后在杀毒,上网后仍会出现,请高手指点,谢谢

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)

………………

貌似比较菜的一个病毒。必须完全关闭其它安全软件以及Tiny的windows security,此毒才能完整运行。否则,系统陷入死机状态。

1、此毒完全运行后,结束瑞星及SSM进程。SSM不能重新运行(报“驱动丢失”)。此毒貌似想模仿“磁碟机”。但是,它运用系统程序cacls.exe搞鬼的技艺远远不如“磁碟机)。
2、创建的病毒文件:
c:\windows\soundman.exe(隐藏)
c:\windows\system32\rav.exe
c:\windows\system32\ttjj1.ini
c:\windows\system32\qoq.exe(后来访问网络下载的)
3、注册表改动:
(1)HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加:soundman(指向c:\windows\soundman.exe)
(2)IFEO劫持ctfmon.exe(指向c:\windows\soundman.exe)
4、此后,tiny防火墙拦截到N多端口扫描。这些端口扫描均不能突破tiny防火墙。

5、杀毒:
结束进程。删除病毒文件;删除病毒加载项、IFEO劫持项。完事。

以上内容是我在版主之家回复一个帖子的内容。他提供的样本文件名:SSSO.EXE
gototop
 
ftony712
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-03-24
  • 来自:
发表于: 2008-03-24 11:03 | 只看楼主 短消息 资料
字号: 3楼

谢谢斑竹的回复,我想问的是,目前又没有杀毒软件可以清除呢,我市菜鸟,如果让我自己来操作,可能有难度,谢谢
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-24 11:33 | 短消息 资料
字号: 4楼

引用:
【ftony712的贴子】谢谢斑竹的回复,我想问的是,目前又没有杀毒软件可以清除呢,我市菜鸟,如果让我自己来操作,可能有难度,谢谢
………………

SSS0.EXE的多引擎扫描结果:

附件附件:

下载次数:353
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-24 11:33:42
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT