老衲也懂浪漫 - 2010-9-19 4:07:00
刚刚,朋友QQ上给我发了一个rar文件,朋友还叫我的名字问我认识这个人吗,我没怀疑,解压缩,里面是个"她的照片.scr" 文件,我知道是个屏保文件,以为朋友是问我屏保上的女孩叫什么,我先用瑞星查杀,没有发现病毒,就点击了,但没有反映,我知道糟了,然后我点击QQ图标,QQ自动退出,再点击QQ,跳出来登录界面,瑞星帐号保险柜提示已经保护,我知道QQ可能已经不安全了,就按登录界面上的设置,没反应,按虚拟键盘,也没反应,我就肯定这个界面是偷取密码的,并不是真的QQ登录界面,后悔啊,上网查了查,跟我的情况一模一样
该病毒运行后,首先会执行命令cmd.exe/ctaskkill/f/imQQ.exe/t
接着会cmd.exe/ctaskkill/f/imqqdat.exe/t
接着强行终止QQ
最后执行命令rundll32.exeC:\WINDOWS\system32\shimgvw.dll,ImageView_FullscreenC:\DocumentsandSettings\Administrator\MyDocuments\tu.jpg
破坏力分析:清除难度大。替换QQ主程序为木马。盗取用户QQ号及游戏账号。
由于大都采用系统命令行方式执行,造成杀毒软件无法识别其动作,只有造成危害后才知道中毒迹像。 |
网上找不到查杀工具跟查杀办法,特来求助用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/531.0 (KHTML, like Gecko) Chrome/3.0.195.0 Safari/531.0 SE 2.X
老衲也懂浪漫 - 2010-9-19 4:08:00
现在QQ淘宝都不敢登录了
mopery - 2010-9-19 6:10:00
请把这个文件压缩上传
老衲也懂浪漫 - 2010-9-19 8:17:00
可惜已经删除
天月来了 - 2010-9-19 8:30:00
唉,要么你朋友故意,要么是你朋友的QQ号被盗,盗号者折腾你。
你们出于什么原因习惯信任朋友的QQ号发来的文件呢??
这年头,什么朋友的QQ号发的文件都不能完全信任的。
以后安装个沙盘软件备用吧,遇到这类的文件,在沙盘中打开要好点。
不过你都知道是个屏保文件,为什么要随便信任去运行呢??那文件名“她的照片”就是利用人们的系统默认不显示文件扩展名来欺骗别人的,因为没扩展名的情况下,同时那个.scr程序的图标作成图片图标的话,那么很多人都会将其作为图片打开的。这样的欺骗的逻辑集合在这一个文件上,当场就应该删除了事,而不是好奇点击。
老衲也懂浪漫 - 2010-9-19 8:41:00
瑞星没有专杀工具吗,网上查了查,这是哥老病毒了:kaka4:
天月来了 - 2010-9-19 9:30:00
没有专杀
病毒是不断更新的,它就象杀毒软件要升级更新一样,病毒也不断更新,不断的针对杀毒软件作免杀处理。
尤其是病毒初始化运行是依赖系统重要程序执行破坏命令的话,一般全球的安全软件都不容易监控完美的,因为所有安全软件,尤其付费安全软件为了不影响付费用户的系统使用,这些安全软件都是默认放过微软的签名程序作任意事的。
所以这个逻辑顺序就为制毒者留下巨大的操作空间。
没好办法,愿意的话试试金山急救箱修复系统或恢复系统还原。
目前仅金山急救箱和几山网盾一直在跟踪此类恶意程序的破坏行为,并提供适当的修复。
只有试试了,因为我并不知道此病毒的破坏是否在金山软件的修复范围内。
mopery - 2010-9-19 9:59:00
如果跟我前段时间遇到的差不多..
你只需要卸载 QQ -删除qq对应的文件夹-重新安装 qq 即可...
这个病毒应该只是为了盗取qq
© 2000 - 2024 Rising Corp. Ltd.