瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 在进程里面发现AKHBNP.exe是qq病毒
radiochen - 2006-7-19 6:59:00
在进程里面发现AKHBNP.exe是qq病毒
用查进程管理软件发现这个文件的进程如下
Process: AKHBNP.exe Pid: 4360

Type    Name
Desktop    \Default
Directory    \Windows
Directory    \BaseNamedObjects
Directory    \KnownDlls
Event    \BaseNamedObjects\crypt32LogoffEvent
File    C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1740_x-ww_7cb8ab44
File    \Device\NamedPipe\ntsvcs
File    \Device\KsecDD
File    C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1740_x-ww_7cb8ab44
File    C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1740_x-ww_7cb8ab44
File    C:\WINDOWS\system32
Key    HKLM
Key    HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Key    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts
Key    HKCU
Key    HKCU\Software\Classes
Key    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
Key    HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
Key    HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5
KeyedEvent    \KernelObjects\CritSecOutOfMemoryEvent
Mutant    \BaseNamedObjects\AntiTrojan3721
Mutant    \BaseNamedObjects\ASSISTSHELLMUTEX
Mutant    \BaseNamedObjects\KingsoftAntivirusScanProgram7Mutex
Mutant    \BaseNamedObjects\CTF.LBES.MutexDefaultS-1-5-21-776561741-854245398-1189147555-1003
Mutant    \BaseNamedObjects\CTF.Compart.MutexDefaultS-1-5-21-776561741-854245398-1189147555-1003
Mutant    \BaseNamedObjects\CTF.Asm.MutexDefaultS-1-5-21-776561741-854245398-1189147555-1003
Mutant    \BaseNamedObjects\CTF.Layouts.MutexDefaultS-1-5-21-776561741-854245398-1189147555-1003
Mutant    \BaseNamedObjects\CTF.TMD.MutexDefaultS-1-5-21-776561741-854245398-1189147555-1003
Mutant    \BaseNamedObjects\CTF.TimListCache.FMPDefaultS-1-5-21-776561741-854245398-1189147555-1003MUTEX.DefaultS-1-5-21-776561741-854245398-1189147555-1003
Mutant    \BaseNamedObjects\ShimCacheMutex
Process    <Non-existent Process>(4716)
Section    \BaseNamedObjects\UrlZonesSM_aa
Section    \BaseNamedObjects\CiceroSharedMemDefaultS-1-5-21-776561741-854245398-1189147555-1003
Section    \BaseNamedObjects\CTF.TimListCache.FMPDefaultS-1-5-21-776561741-854245398-1189147555-1003SFM.DefaultS-1-5-21-776561741-854245398-1189147555-1003
Section    \BaseNamedObjects\ShimSharedMemory
Semaphore    \BaseNamedObjects\shell.{210A4BA0-3AEA-1069-A2D9-08002B30309D}
Semaphore    \BaseNamedObjects\shell.{7CB834F0-527B-11D2-9D1F-0000F805CA57}
Semaphore    \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
Semaphore    \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1}
Thread    (4360): 608
Thread    (4360): 5600
Thread    (4360): 608
Thread    (4360): 4060
WindowStation    \Windows\WindowStations\WinSta0
WindowStation    \Windows\WindowStations\WinSta0

      这个文件开机时候运行,如果运行qq的话,会自动向好友发送高清晰美女录像等附件,AKHBNP.exe这个文件在c:\windows\system32下,除了这个文件外,每次运行这个文件会自动生成几个msdos快捷方式:高清晰美女录像、让美女失色的泰国人妖II、最新刷Q币动画教程。
    杀毒方法:1、运行regedit,打开注册表,查找AKHBNP.exe,将所有的键值删除
              2、按ctrl+alt+del 打开任务管理器 ,将AKHBNP.exe的进程结束
              3、打开C:\WINDOWS\System32\  将AKHBNP.exe和那些msdos快捷方式
                高清晰美女录像、让美女失色的泰国人妖II、最新刷Q币动画教程删除


      还有什么不妥的地方请各位高手补充
1
查看完整版本: 在进程里面发现AKHBNP.exe是qq病毒
© 2000 - 2025 Rising Corp. Ltd.