相關的病毒文件:
~!KqVo4c.exe
comime.exe
DHelp.dll
msinthk.dll
QQDHelp.dll
wmimgr.exe
病毒通過QQ發送文件的方式傳播,發送的文件名極具誘惑,以<文件名>.jpg.exe的形式發送,圖標見附件。
病毒需要接收並運行後才會感染系統,運行後會顯示壹個錯誤對話框(見附件)。
病毒在註冊表中添加壹下信息,禁止用戶打開“任務管理器”和“註冊表編輯器”:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001
在註冊表中添加標誌信息:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
還會查找瑞星和QQ的信息,據說發現瑞星會刪除瑞星的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav
病毒自身復制到系統目錄下,文件名為wmimgr.exe。
病毒還會修改壹些系統程序文件和QQ程序文件,在文件中加上“TopFox”標誌和好像是調用病毒文件DHelp.dll的信息,會被修改的系統文件有:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
還有壹些QQ程序也會被修改,比如QQGame.exe等。
註:當系統文件被修改時,系統會出現這樣的對話框(見附件)。
病毒釋放DHelp.dll到以下目錄:
%Windows%\
%System%\
%System%\wbem\
QQ目錄,如%ProgramFiles%\Tencent\QQGame\
釋放QQDHelp.dll到%ProgramFiles%\Tencent\目錄。
添加自啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation"="wmimgr.exe"
病毒還會從網站上下載另壹個盜密碼的病毒程序到系統中:
%USERPROFILE%\Local Settings\Temp\
~!KqVo4c.exe
~H32Jvk.jpg
復制自身到系統目錄,文件名為comime.exe,釋放msinthk.dll。
建立自啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
清除步驟
首先,我們還是先把病毒的進程結束掉:
%System%\wmimgr.exe
%System%\comime.exe
然後搜索並刪除病毒文件:
%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll
病毒文件刪除以後,我們要恢復被病毒禁用“任務管理器”和“註冊表編輯器”的設置,方法很多的,如果不會操作,這裏提供了壹段REG註冊表文件,保存為REG文件後直接雙擊運行後導入註冊表即可恢復禁用。
Code:
[Ctrl+A Select All]
接下來就可以到註冊表編輯器刪除病毒建立的啟動項了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"
註:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox,這個位置好像是病毒建立的“標誌”,該位置如果存在,貌似病毒運行後不會進行過多的“動作”,且會自動退出進程,故可以不刪除。
好了,病毒處理掉以後我們再恢復被病毒修改過的三個系統文件explorer.exe、notepad.exe和iexplore.exe。由於病毒同時也修改了%System%\dllcache\下的文件,所以我們先要恢復%System%\dllcache\下的系統文件。
explorer.exe、notepad.exe和iexplore.exe的源文件我們可以從系統安裝源裏找到,比如安裝光盤或ServicePack保存的目錄,也可以從其它相同操作系統(相同SP)中復制過來。
如果是從安裝盤I386目錄下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通過expand命令可以解壓縮它們,命令類似:
Code:
[Ctrl+A Select All]
得到正常的源文件後,我們依次進行覆蓋操作。
先覆蓋:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然後再覆蓋或刪除:
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
QQ的話,如果方便就覆蓋安裝壹下。
通過以上操作應該可以解決問題,以後要註意的是多多提高自己的安全防護意識和盡快掌握壹些計算機基礎知識,這樣就能很快地分辨出像這種QQ上傳來的不是什麽好東西了。
--------------
補充壹下:
目前殺軟支持查殺該病毒,請升級妳的殺軟,在安全模式全盤殺壹次。該狐貍王會禁用任務管理器,及註冊表,需要手工恢復,可以通過下載附件,解壓後運行修復。
該木馬會修改三個常用的系統文件,請從安裝盤I386目錄下找(註意自己系統版本、SP),可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件(用搜索即可)由於這三個實質是CAB壓縮包文件,妳可以通過系統的expand命令解壓縮,考慮到更多的人,更方便的方法是,直接將其擴展名改成CAB或RAR,使用Winrar即可解壓縮,將解壓縮出來的文件覆蓋被修改的文件,如果不懂得擴展名,可以先打開Winrar,再分別拖這三個文件進Winrar解壓縮,也可直接雙擊上述文件,在打開方式對話框,通過瀏覽選擇Winrar,也可以解壓縮。 如果妳手上沒有安裝盤,可以直接在論壇發帖說明妳的系統版本,通過別人上傳正確的文件再替換。