晋城矿务局最疯女人:TrojanDownloader.QQhelper.d是否是新病毒?

来源:百度文库 编辑:杭州交通信息网 时间:2024/04/30 02:44:37

为防止是变种的QQ盗号木马,首先更改QQ密码,再申请密码保护。

多多QQ表情系列(包含两种流氓软件,常和QQ多多表情捆绑一起狼狈为奸姑且合称为多多QQ表情)。
犯罪表现
大多是在用户不知情的情况下(表现为在安装相关软件捆绑安装或上网过程中自动)被安装。
安装程序运行后会产生以下文件:
%ProgramFiles%\Common Files\SAN\AdInstall.exe
%ProgramFiles%\Common Files\SAN\diskman.exe
%ProgramFiles%\Common Files\SAN\svr.dat
%ProgramFiles%\Common Files\SAN\updatesr.ini
%ProgramFiles%\Common Files\Upd\update.dat
%ProgramFiles%\Common Files\Upd\update.exe
%ProgramFiles%\qqhelper\index.txt
%ProgramFiles%\qqhelper\uninstall.exe
%ProgramFiles%\qqhelper\多多QQ表情.exe

并把diskman.exe进程注册为系统服务,随机自动启动。服务名为“Universal Disk Manager”。
该服务的描述是:“监测和监视新的通用磁盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。”(这里是该流氓软件伪装想迷惑我们用户,使我们以为是正常的系统服务。)
我们使用HIJACKJTHIS扫描可以检测到该可疑服务项:
O23 - NT 服务: Universal Disk Manager - Unknown owner - C:\Program Files\CommonFiles\SAN\diskman.exe

另外diskman.exe还安插到注册表启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Update"="%ProgramFiles%\Common Files\Upd\update.exe"
用防火墙的用户开机常会提示拦截该项目的启动。。
清除办法
1)运行%ProgramFiles%\qqhelper\uninstall.exe可以卸载“多多QQ表情”,但也只是删除了这三个文件:
%ProgramFiles%\qqhelper\index.txt
%ProgramFiles%\qqhelper\uninstall.exe
%ProgramFiles%\qqhelper\多多QQ表情.exe
2)右击任务栏的空白处,点选“任务管理器”或按Ctrl+Alt+Del键。结束“diskman.exe”进程

3)开始菜单→运行services.msc自动打开系统服务配置界面,把Universal Disk Manager服务设置为禁止。

4)删除系统Program Files\Common Files\SAN目录和Program Files\Common Files\Upd目录。

5)运行SRE→启动项目→注册表→点选
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Update"="%ProgramFiles%\Common Files\Upd\update.exe"修复。。

6)我的电脑→“设备管理器”→“查看”菜单→选中“显示隐藏的设备”→在显示区内多出一项“非即插即用驱动程序”,找到“Universal Disk Manager”,右键选择“卸载”,运行regedit打开注册表,编辑→查找“Universal Disk Manager”找到一个删除一个。。或者直接展开到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services目录下,找到Universal Disk Manager键项,彻底删除。展开到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\目录下找到LEGACY_Universal Disk Manager彻底删除。。

7)如果你没有动手能力,或觉得烦琐。你可以下载最新版的“流氓软件清理助手”,重新启动按F8到安全模式下用“流氓软件清理助手”来自动清理。对于个别无法清理的注册表残余,和一楼删除U88的方法一样,点击你要删除的注册表残余项,右键属性→权限→赋予everyone完全权限 →确定即可删除。
最后需要注意的是流氓软件也在不断的升级,最近多多QQ表情又出现了新变种:
%ProgramFiles%\Common Files\SAN\diskman.exe →升级为%ProgramFiles%\Common Files\SAND\client.exe。
服务也出现了新服务名:[QQFace / QQFace]
以下是SRE扫描到的变化的新服务项:
[QQFace / QQFace]

但换汤不换药,具体清理办法还是一样的。只是进程名不一样罢了

TrojanDownloader QQh幻想如何下载 怎样申请QQH号码 我怎样申请QQH号 请问Trojan.DL.QQH.....是什么病毒? trojandownloader.hkdown.a TrojanDownloader.WHBOY-down.c TrojanDownloader.Small.di是什么 trojandownloader.delf.nf TrojanDownloader.Delf.sn病毒