Win32.PSWTroj.QQ.iavb

基本信息

病毒行為

這是個盜取用戶QQ號的木馬，並且可以通過移動介質傳播。

autorun.inf內容如下：

[AutoRun]

open=SHE.exe

shellexecute=SHE.exe

shell\Auto\command=SHE.exe

3、修改註冊表項，使用戶雙擊打開硬碟時自動執行病毒體SHE.exe。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDriveTypeAutoRun"=dword:bd

4、創戰詢付建自啟動註冊表項

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SoundMam "%system%\SVOHOST.exe"

HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\%system%\SVOHOST.exe "SVOHOST"

5、嘗試調用net.exe和sc.exe來停止並關閉以下服務：

srservice

sharedaccess

KVWSC

KVSrvXP

kavsvc

RsRavMon

RsCCenter

6、嘗試獲取"瑞星提示"視窗拔院尋和"是"按鈕，並傳送按鈕點擊訊息，以此來躲避瑞星的監控。

7、嘗試查找並關閉含以下字元串的視窗：

QQKAV

防火牆

網鏢

木馬

防毒

金山毒霸

噬菌體

QQAV

QQKav

TKillqqvir

8、嘗試關閉以下元紙棕您系統進程及道炒市與安全軟體相關的進程：

sc.exe、net.exe、sc1.exe、net1.exe、PFW.exe、Kav.exe、KVOL.exe、KVFW.exe、TBMon.exe、kav32.exe、kvwsc.exe、CCAPP.exe、EGHOST.exe、KRegEx.exe、kavsvc.exe、VPTray.exe、RAVMON.exe、EGHOST.exe、KavPFW.exe、SHSTAT.exe、regedit.exe、RavTask.exe、TrojDie.kxp、Iparmor.exe、MAILMON.exe、MCAGENT.exe、KAVPLUS.exe、RavMonD.exe、Rtvscan.exe、Nvsvc32.exe、KVMonXP.exe、Kvsrvxp.exe、CCenter.exe、KpopMon.exe、RfwMain.exe、regedit.exe、KWATCHUI.exe、MCVSESCN.exe、MSKAGENT.exe、只充kvolself.exe、KVCenter.kxp、kavstart.exe、奔習喇RAVTIMER.exe、RRfwMain.exe、FireTray.exe、UpdaterUI.exe、KVSrvXp_1.exe、RavService.exe

9、刪除以下與安全軟體相關的啟動項：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\RavTask

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KvMonXP

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\YLive.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\yassistse

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\NTdhcp

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Winhoxt

10、當檢測到QQ運行時刪除QQ的鍵盤保護店鑽腳您檔案npkcrypt.sys。

Win32.PSWTroj.QQ.iavb

基本介紹

基本信息

病毒行為

相關詞條

熱門詞條