病毒名称(中文):
病毒别名:
Trojan-PSW.Win32.QQRob.14d[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
23171
影响系统:
Win9xWinNT
病毒行为:
这是一个盗取腾讯QQ密码的木马病毒。该病毒表面上号称“最新刷会员教程”,暗中将自己改名为“NTdhcp.exe”,并复制自己到系统目录,
删除病毒原始文件,运行病毒的副本。病毒不停的搜集反病毒软件信息,关闭众多的常见反病毒软件进程,删除反病毒的启动项,关闭反病毒
服务,甚至卸载某些反病毒软件,使得用户机器的安全性能大大下降。然后将窃取用户的qq号码以及密码,发送到木马种植者的邮箱。
1.复制自身到系统目录并改名:
%System32%\NTdhcp.exe
释放临时文件:%systemroot%\Deleteme.bat删除病毒原始文件,然后运行%System32%\NTdhcp.exe。
2.关闭众多的反病毒软件进程:
FireTray.exe
UpdaterUI.exe
TBMon.exe
SHSTAT.EXE
RAV.EXE
RAVMON.EXE
RAVTIMER.EXE
KVXP.KXP
KVCENTER.KXP
Iparmor.exe
MAILMON.EXE
KAVPFW.EXE
KVFW.EXE
KVMonXP.KXP
KAVPLUS.EXE
KWATCHUI.EXE
KPOPMON.EXE
KAV32.EXE
CCAPP.EXE
MCAGENT.EXE
MCVSESCN.EXE
MSKAGENT.EXE
EGHOST.EXE
KRegEx.exe
TrojDie.kxp
KVOL.exe
kvolself.exe
根据窗口信息关闭进程:
卡巴斯基反病毒单机版
SymantecAntiVirus企业版
江民杀毒软件KV2004:实时监视
瑞星
ZoneAlarm
LockDown
天网防火墙个人版
天网防火墙企业版
噬菌体
木马克星
删除反病毒的启动项:
SoftWare\Microsoft\Windows\CurrentVersion\Run项目下的:
RavMon
RavTimer
KvMonXP
iDubaPersonalFireWall
KAVRun
KpopMon
Kulansyn
ccApp
SSC_UserPrompt
MCAgentExe
McRegWiz
MCUpdateExe
MSKAGENTEXE
MSKDetectorExe
VirusScanOnline
VSOCheckTask
McAfeeUpdaterUI
NetworkAssociatesErrorReportingService
ShStatEXE
VSOCheckTask
关闭反病毒服务:
RsRavMon
RsCCenter
KVSrvXP
kavsvc
wscsvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
SymantecCoreLC
navapsvc
NPFMntor
MskService
FireSvc
McTaskManager
McShield
McTaskManager
McAfeeFramework
甚至卸载某些安全软件:
密码防盗专家综合版
3.修改注册表,将自己设置为开机运行。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"NTdhcp"="%System32%\NTdhcp.exe"
4.获取qq窗口,窃取qq号码和密码,发送到木马种植者的邮箱。