QQ病毒查杀实战

太子瑞发电脑

首先让我们来看看这些病毒（工具）运行时候的画面，然后天缘将给大家介绍如何一步一步的查杀这些病毒。
　　1. 运行"一生有你.exe"之后出现的图片

看得出来，这个就是利用了大家喜欢看网友照片或者某些图片的好奇心，把木马文件和图片捆绑起来运行的。
　　2. 运行"qq信使功能客户端生成器"出现的界面；

这个很显然是让用户刻意运行的--难道还有人会傻到自己运行木马么？没错，在网吧等公共环境中，存在这这样一类人，故意在所用的机器上启用qq密码盗取木马，然后立即下机，后来的上网者就都成了该木马的受害者--这样获取它人的qq以便谋利。我还是生成并运行了它。
3．Trojan.PSW.QQpass.ak.a.exe 、Trojan.PSW.QQPass.ar.exe 以及另外3个病毒程序，我之后没有出现任何界面；
　　这个大概是配合其他感染方式使用的吧，例如配合恶意web页面使用，利用ie漏洞自动下载并执行；
　　4．运行Trojan.PSW.QQPass之后的无任何界面
　　我想是同上类型的，值得一提的是该病毒是一个典型的delphi程序的图标，而且运行方式有点特别，后面我详细说说；
　　5．运行qqinfo.exe 之后无任何界面；
　　但查看了一下它文件夹中的选项，有供替换用的internat.exe文件，不知为何在我机器上它替换失败，哈哈。看了一下那个internat.exe文件的属性，其版本号是5.0，猜测是对应win2k和winxp的，我这里是win98，所以无法替换吧？？
　　ok，该运行的病毒我全都运行起来了，现在看看到底这些病毒在我们系统中做了哪些手脚吧？？
　　一般来说，qq病毒都是独立的程序，通过启动的时候自动加载，检查qq的登陆窗口句柄，通过控件id获得用户的id号和密码值。也就是说，木马的成功分为2个部分：1.硬盘上存在盗取密码的程序；2.该程序被成功执行。明白了这点后，我们就可以分2步来分析这些盗取号码的软件：
　　首先我们来看看这些病毒在硬盘上的位置，根据天缘的经验，木马程序最喜欢在系统盘的根目录下，在windows的目录下（包括system和system32目录）和qq所在的盘/目录里最有可能隐藏病毒文件，让我们去以上各个目录看看。
　　首先，进入c盘的根目录，使用资源浏览器将文件按修改时间排序，发现无故多了张名字为dream.jpg，大小为48k的图片，打开一开，正是名为"一生有你.exe"这个病毒执行后出现的那张图片，看来该qq病毒应该是利用了捆绑工具，将jpg文件和病毒文件捆绑到了一起，这类病毒专门针对喜欢看网友照片的朋友而设计的，哈哈。除了这文件外，没发现其他文件被改变。 ok，接下来到c:\windows 目录下来看看（天缘装的操作系统是win98，如果在2k中就该是winnt目录哦），同样将文件按照时间排序看看。
　　发现增加了一个名为qqinfo.exe文件，
　　增加了一个名为intren0t.exe的程序，
　　增加了一个名为intrenat.exe的程序
同时user.dat和system.dat的最后访问时间也被修改了，熟悉注册表的朋友都知道，这2个文件正是注册表的真实文件，这就从侧面提示了提示我们，我运行的qq病毒软件修改了注册表。

系统盘就找到这么多，接着到其他盘去看看
　　来到d盘根目录，发现增加了一个autorun.inf文件

是个文本文件，打开一看，原来是指向D:\Program Files\FNYP.EXE。autorun.inf本来的作用是访问该分区的时候自动执行某些任务，例如光驱自动读盘就是用它实现的，但现在很多病毒也喜欢玩这个。Ok，不用说了，这个也是病毒干的，至于是哪个病毒呢？我猜测是Trojan.PSW.QQPass这个，因为图标同样是delphi的程序图标。
接下来，就是杀除咯。
　　分两步走，先到注册表里看看我们刚才找的是不是够全面。
　　在开始--运行中输入"regedit"，按照下图设置，进行查找

先在一处找到了一个名为qqinfo的键值，在上面点鼠标右键，将其删除；

接着按f3，继续查找
　　在这里又发现几处可疑的（兰色标注的部分为病毒在注册表里的项）

在这主键下面不远的runservices 键值中，也发现几个不对劲的地方

好了，之后就没有再查找到可疑程序，到这里就查找完整了。。。接下来，就是先记录下来这些可疑文件的文件名字（有位置的顺便把文件位置也记录下来），然后将上面说的可疑键值全部删除掉。其中有一个比较特别的是rundll32.exe文件，这个本是windows的自带文件，但是病毒文件将其替换掉了，恢复方法见后。
　　Ok，关闭regedit，等待个几分钟，然后再打开regedit看看，重复一下上面的操作，看看刚才在注册表里的键值是否真的删除掉了。因为利用改写系统system i/o操作，可以作到令删除指定文件/注册表项目的操作无效--该技术目前只看到3721用到过。我查了一下，的确都删除了，看来这些木马技术含量还真不是一般的低，真好杀。
　　现在让我们运行一下scanregw，重新备份注册表

为什么这里要重新备份一次呢？？因为windows有个习惯，就是如果是非法关机，那么此次的注册表操作都不保存--我曾经遇到过不少病毒利用这点来刻意令windows无法正常关机，达到用户即使清理了注册表也无效的效果。因此为了预防这点，我们重新备份一次注册表--这时候的注册表中已经是没有木马选项的了。
　　好了，重新启动计算机，开机按f8，进入到安全模式中。这时候因为不运行注册表里的启动程序，所以所有的木马都成了一匹死马--除了d盘下的利用autorun.inf的那个。等下特别关照它。
　　按照刚才记录下来的程序位置，依次进入到该目录中将该病毒文件删除；上面提到过，除了一个特殊的木马外，其他的都在c盘，所以直接进到相应目录里，删除文件即可。
　　接下来，在"我点电脑中"，在d盘上点右键，选择"打开"方式打开d盘（如下图），注意，这一步不可以直接双击d盘图标打开，那样会导致d盘根目录下的autorun.inf自动执行，别忘记了d盘的木马还没删除掉呢。

ok，然后进到d盘的program file目录，将那个木马删除；用同样的方式进入e盘，将根目录下的autorun.inf文件删除掉；到现在为止，所有的木马都被我们删除掉了。 对于上面提到过的c:\windows 系统下被替换掉了的rundll32.exe怎么办？虽然我们已经将该木马删除了，但是该文件是被系统所需要的，所以还需要恢复一个干净的rundll32。对于win98来说，可以使用系统自带的系统文件检查器，对于win2k/xp来说，可以直接从别人机器上copy一个就行了，文件不大，即使网络传输也很快。下面来看看win98下如何使用系统文件检查器。
　　在 开始--运行 中输入"sfc"，打开系统文件检查器
　　然后选择"从安装软盘提取一个文件"，在下面的输入栏中输入rundll32.exe 接着点"开始"，弹出如下界面

将"还原自"那里输入你的windows安装盘位置，然后点"确定"就行了。到这里为止--运行的所有qq密码盗窃病毒都被我们删除干净了。
　　接下来，再重新启动一次计算机，您就可以放心上网聊qq去了。其实qq软件木马的功能相当单一，杀除也相当容易，但是大多数用户是在发现被盗后才察觉到，属于亡羊补牢。最好的办法就是预防中毒，尽量不要接受陌生人的文件，在网吧上网的时候在下机前修改qq密码，另外最为重要的就是认真填写密码保护资料--如果qq被盗，而密码保护资料是乱填的，或者太简单或者根本就没密码保护，那么qq号大概是很难寻回了。

太子瑞发电脑

以下是目前出现频率，举报率较高的假冒网站，请广大用户关注，并提醒身边Q友
    http://www.QQ.laba.cn
　　http://www.qq6.com/
　　http://www.qq134.com/qq.htm
　　http://www.fx99.net
　　http://www.52592.com/oicq/
　　http://qq.110dj.com/
　　http://www.oicq.tv/money/?QQ
　　http://www.chengcang.com
　　http://www.fm138.com/QQ/?QQ
　　http://www.qq2005.5888.com
　　http://www.chengcang.com
　　【挂Q网】http://www.77q8.com/
　　【QQ免费挂机网】http://www1.qqsf.com/
　　【免费VIP挂机网】http://qq.9173.com/
　　【QQ任我挂网】http://www.focusme.cn/newlogin.htm
　　【疯狂QQ网】http://www.qq768.com/
　　【飞飞挂机平台网】http://qq.7c.cn/
　　【qq.xp13.com网】http://qq.xp13.com/
　　【QQ任我行网】http://www.gqq8.com/
　　【QQ挂机王网】http://www.7-qq.com/
　　【射曰网】http://www.91sun.com/
　　【QQ挂网】http://www.114qq.net/
　　【QQ挂机天使网】http://qqdx.qqno1.com/
　　【网吧QQ挂机系统网】http://qq.zhidu.com/
　　【QQ挂机王网】http://www.qqgjw.com/
　　【QQ挂机中心网】http://www.22tg.com/qq/
　　【橙色年华QQ挂机网】http://rank.lyac.com.ru/
　　【QQ疯狂挂机网站】http://www.92988.com/
　　【黄平163网】http://www.hp163.net/qq/