文件名称:atmQQ2.dll 文件大小:37995 bytes AV命名: Trojan-PSW.Win32.QQPass.ajw Kaspersky PSW.OnlineGames.SXC AVG Trojan.PWS.Qqpass.1533 DrWeb Trojan.PSW.Win32.QQPass.ywt Rising 中文别名:金狐QQ大盗 加壳方式:UPX 编写语言:Delphi 文件MD5:ac708c44ffdc1641bcb68273491bb8ff 病毒类型:QQ木马 行为: 1、 释放病毒文件: C:\Program Files\Common Files\Microsoft Shared\MSInfo\atmQQ2.dll 21839 字节 2、 添加注册表,开机启动: Registry Group: Malware Object: Registrykey: HKCR\CLSID\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\InProcServer32 Registry value: (Default) Type: REG_SZ Value: C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll 3、 atmQQ2.dll安装全局钩子,注入所有运行中的进程。 4、 检查路径::\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe 如果发现,则修改系统时间,使其失效。 5、 尝试删除文件:QQDoctor\QQDoctor.exe,防止QQ登入前查杀木马。 6、 检查QQ.exe启动,并利用Hook技术记录键盘操作盗QQ帐号。 7、 关联系统外壳: Path: C:\WINDOWS\system32\verclsid.exe Information: Verify Class ID (Microsoft Corporation) Command line:/S /C {D544C22D-1F70-4B1E-873D-D8DABEB26695} /I {00000000-0000-0000-C000-000000000046} /X 0x401 8、释放一个批处理,删除载体。 解决方法: 1、 下载SREng(可到down.45it.com下载),后断开网络,关闭不需要进程。 2、 删除启动项: {D544C22D-1F70-4B1E-873D-D8DABEB26695} 3、 重启计算机,删除文件: C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll 其他: 修改正确的系统时间,重装QQ医生。 |