rojan.PSW.QQPass.qxp( isignup.sys isignup.dll) 木马手工清除方法
关机的时候会告诉你QQJDDEXE没有响应
一、病毒行为分析
这是一个盗Q木马,运行后复制自身到:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
释放动态链接库文件注入进程:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
在当前目录生成_xiaran.bat删除主程序原文件:
:try
del "exe"
if exist "exe" goto try
del %0
创建ShellExecuteHooks启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"=""
[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys"
创建注册表信息:
[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]
"DL"="2"
二、手工清除步骤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"
[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}]
2. 重新启动计算机
3.删除病毒文件:
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
4. 删除病毒创建的注册表信息:
[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]
