金狐QQ大盗atmQQ2.dll(Trojan-PSW.Win32.QQPass.ajw)查杀
[b][color=#ff0000]金狐QQ大盗 atmQQ2.dllTrojan-PSW.Win32.QQPass.ajw[/color][/b]
文件名称:atmQQ2.dll
文件大小:37995 bytes
AV命名:
Trojan-PSW.Win32.QQPass.ajw Kaspersky
PSW.OnlineGames.SXC AVG
Trojan.PWS.Qqpass.1533 DrWeb
Trojan.PSW.Win32.QQPass.ywt Rising
中文别名:金狐QQ大盗
加壳方式:UPX
编写语言:Delphi
文件MD5:ac708c44ffdc1641bcb68273491bb8ff
病毒类型:QQ木马
行为:
1、 释放病毒文件:
C:\\Program Files\\Common Files\\Microsoft Shared\\MSInfo\\atmQQ2.dll 21839 字节
2、 添加注册表,开机启动:
Registry Group: Malware
Object:
Registrykey: HKCR\\CLSID\\{D544C22D-1F70-4B1E-873D-D8DABEB26695}\\InProcServer32
Registry value: (Default)
Type: REG_SZ
Value: C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\atmQQ2.dll
3、 atmQQ2.dll安装全局钩子,注入所有运行中的进程。
4、 检查路径::\\Program Files\\Kaspersky Lab\\Kaspersky Anti-Virus 7.0\\avp.exe
如果发现,则修改系统时间,使其失效。
5、 尝试删除文件:QQDoctor\\QQDoctor.exe,防止QQ登入前查杀木马。
6、 检查QQ.exe启动,并利用Hook技术记录键盘操作盗取QQ帐号。
7、 关联系统外壳:
Path: C:\\WINDOWS\\system32\\verclsid.exe
Information: Verify Class ID (Microsoft Corporation)
Command line:/S /C {D544C22D-1F70-4B1E-873D-D8DABEB26695}
/I {00000000-0000-0000-C000-000000000046} /X 0x401
8、释放一个批处理,删除载体。
[color=#ff0000][b]解决方法:[/b][/color]
1、 下载[url=http://www.newjian.com/Anti-virus/anti_virus_2292.html][u][color=#0000ff]SREng[/color][/u][/url],后断开网络,关闭不需要进程。
2、 删除启动项:
{D544C22D-1F70-4B1E-873D-D8DABEB26695}
3、 重启计算机,删除文件:
C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\atmQQ2.dll
其他:
修改正确的系统时间,重装QQ医生。
页:
[1]