Win32.PSWTroj.QQ.iavb

2、在除C糟的每個硬碟分區下生成檔案 autorun.inf 和病毒複製體 SHE.exe,並設定其為系統和隱藏檔案屬性。autorun.inf內容如下:

基本介紹

  • 中文名:Win32.PSWTroj.QQ.iavb
  • 病毒行為:盜取用戶QQ號
  • 類型:木馬
  • 特點:通過移動介質傳播
基本信息,病毒行為,

基本信息

Win32.PSWTroj.QQ.iavb

病毒行為

這是個盜取用戶QQ號的木馬,並且可以通過移動介質傳播。
autorun.inf內容如下:
[AutoRun]
open=SHE.exe
shellexecute=SHE.exe
shell\Auto\command=SHE.exe
3、修改註冊表項,使用戶雙擊打開硬碟時自動執行病毒體SHE.exe。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDriveTypeAutoRun"=dword:bd
4、創戰詢付建自啟動註冊表項
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam "%system%\SVOHOST.exe"
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\%system%\SVOHOST.exe "SVOHOST"
5、嘗試調用net.exe和sc.exe來停止並關閉以下服務:
srservice
sharedaccess
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter
6、嘗試獲取"瑞星提示"視窗拔院尋和"是"按鈕,並傳送按鈕點擊訊息,以此來躲避瑞星的監控。
7、嘗試查找並關閉含以下字元串的視窗:
QQKAV
網鏢
木馬
防毒
噬菌體
QQAV
QQKav
TKillqqvir
8、嘗試關閉以下元紙棕您系統進程及道炒市與安全軟體相關的進程:
sc.exe、net.exe、sc1.exe、net1.exe、PFW.exe、Kav.exe、KVOL.exe、KVFW.exe、TBMon.exe、kav32.exe、kvwsc.exe、CCAPP.exe、EGHOST.exe、KRegEx.exe、kavsvc.exe、VPTray.exe、RAVMON.exe、EGHOST.exe、KavPFW.exe、SHSTAT.exe、regedit.exe、RavTask.exe、TrojDie.kxp、Iparmor.exe、MAILMON.exe、MCAGENT.exe、KAVPLUS.exe、RavMonD.exe、Rtvscan.exe、Nvsvc32.exe、KVMonXP.exe、Kvsrvxp.exe、CCenter.exe、KpopMon.exe、RfwMain.exe、regedit.exe、KWATCHUI.exe、MCVSESCN.exe、MSKAGENT.exe、只充kvolself.exe、KVCenter.kxp、kavstart.exe、奔習喇RAVTIMER.exe、RRfwMain.exe、FireTray.exe、UpdaterUI.exe、KVSrvXp_1.exe、RavService.exe
9、刪除以下與安全軟體相關的啟動項:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt
10、當檢測到QQ運行時刪除QQ的鍵盤保護店鑽腳您檔案npkcrypt.sys。
9、刪除以下與安全軟體相關的啟動項:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt
10、當檢測到QQ運行時刪除QQ的鍵盤保護檔案npkcrypt.sys。

相關詞條

熱門詞條

聯絡我們