一波三折搞定QQ木馬病毒

　　前幾天，同學在QQ上收到一個人傳來的文件(見圖1)，十分欣喜地打開，結果什麼都沒有，然後就發現自己也在不停地給人傳文件，於是找我幫忙清除。其查殺過程一波三折，現成此文，以供大家參閱。

　　

　　1.輕鬆搞定偽裝品

　　先刪除了他接收到的文件，然後用進程查看軟件TroyanFindInfo(下載地址:http:// nj.onlinedown.net/soft/36670.htm)查看一下系統中所有進程。很快發現了一個很奇怪的進程(見圖2)，雖然名稱是RUNDLL32.EXE，但其他的諸如版本、產品名、說明都和微軟的RUNDLL32.EXE不同。

　　

　　另外，該文件保存在System目錄下，而同學的系統是Windows 2000，系統自帶的RUNDLL32.EXE應該保存在System32的文件夾中。基於以上的判斷，初步斷定該進程為木馬進程，於是就用TroyanFindInfo中的「Edit→Kill process」(編輯→結束進程)關閉掉該進程。同時把C:\WINNT\System\目錄下的木馬原文件也刪除。最後在註冊表中查找所有的開機自啟動項目，找到和剛才刪除的RUNDLL32.EXE有關的鍵值即可。

　　小提示

　　★進程查看軟件很多，比如以前介紹過的IceSword，本文介紹的TroyanFindInfo等。我個人喜歡用TroyanFindInfo，因為它比較小巧，信息也比較全面，實用。當你自己不能判斷出進程文件時，還可以點擊「Save」(保存)按鈕，保存好LOG文件，然後傳給高手，讓他幫忙分析。

　　★以前大多數QQ病毒都是通過發送病毒網站地址來傳播的，現在也有不少通過QQ直接發送病毒文件，比如，使用圖片圖標的EXE文件，大家在接收來自好友或陌生人的消息及文件時一定要提高警惕，最好先詢問一下對方是否發過該信息或文件，以免無畏中招。

　　★開機自啟動在註冊表裡的具體位置可以參見本刊2005年第1期的《中毒後遺症，妙手來清除》。

　　2.清除病毒的「幕後黑手」

　　本來以為是一個Easy Case，可剛回到家，同學就打來電話說好像木馬沒清除乾淨。過去一看，果然又出現了原來的狀況。按照剛才介紹的方法先行處理過後，再回想一下整個操作，推斷出可能木馬把自己的分身隱藏到了系統的某個角落。

　於是打開「我的電腦」，在菜單欄上點擊「工具→文件夾選項」，在彈出的「查看」選項卡裡將「隱藏受保護的操作系統文件(推薦)」和「隱藏已知文件類型的擴展名」兩項的勾選去除，再選中「隱藏文件和文件夾」裡的「顯示所有文件和文件夾」(見圖3)。

　　

　　進入系統目錄裡，仔細看了一下WINNT、System、System32的目錄，果然不出所料，發現了「?.exe」和「notepad?.exe」兩個特殊的文件，根據剛才查殺System目錄下RUNDLL32.EXE的經驗，這些文件既不是系統自帶的程序，文件的屬性又和剛才刪除的RUNDLL32.EXE屬性類似，可以推斷出這些文件就是木馬文件，自然將其刪除。最後，再去註冊表，檢查一下所有的啟動項目。

　　小提示

　　★系統自帶程序都有各自特定位置和圖標，比如開始要刪除的「RUNDLL32.EXE」，如果是系統自帶程序，那在Windows 2000/XP中保存在系統目錄裡的System32文件夾裡。

　　★類似於「 .exe」和「notepad?.exe」這類的木馬文件的命名抓住了人們心理上的弱點，對相似東西會忽略掉。如果隱藏了擴展名，本例中的這兩個文件粗粗看一眼就很容易忽略掉。還有一種就是用比較類似的字母或者數字來代替，達到混淆的目的，比如「I」(大寫I)、「l」(小寫L)、「1」(數字1)或者是「O」(字母O)「0」(數字0)就很容易拿來混淆。

　　3.最終善後

　　好事多磨，當我正暗自得意時，突然發現所有應用程序都無法使用，還彈出如圖4所示提示，於是繼續解決問題:到Window的系統目錄裡把「Regedit.exe」的擴展名改為COM，不理會警告再運行，即可打開「註冊表編輯器」，然後再到[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]將「默認」鍵值改回「%1 %*」。再以「?」和「notepad?」為關鍵詞進行搜索，結果又發現註冊表的一處鍵值，即[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]也被修改成了「notepad? %1」，修改回默認的「NOTEPAD.EXE %1」即可。

　　最後，為了保險起見，再用安裝的殺毒軟件對系統進行了全面的查毒，發現QQ目錄中的「TIMPlatform.exe」也是木馬，去QQ的目錄裡一看，發現還有一個文件「TIMP1atform.exe」，經過查看屬性，查毒，確認它是被木馬改名的原「TIMPlatform.exe」文件，改回後，一切正常。

　　

　　小提示

　　★在檢查註冊表時一定要眼尖，看清楚鍵值是不是給做了手腳，是不是多加了一個空格，或使用了混淆字母。

　　★當發現查殺完木馬後系統出現異常，很有可能是其留下了諸多的後遺症，具體處理方法詳見本刊2005年第1期的《中毒後遺症，妙手來清除》。

　　★推薦在手動清理完木馬後再用殺毒軟件對系統進行徹底的查殺。

　　小編有話說:無獨有偶，小編最近也手動清除了幾次病毒，使用的工具是RegFix(下載地址:http://nj.onlinedown.net/soft/25562.htm)及IceSword(http://www.newhua.com/cfan/200508/icesword.rar)，前者可用於修復註冊表，後者則是非常不錯的手工殺毒必備軟件。其實只要用得順手，使用任何工具都可以解決問題，整個流程就像本文介紹的那樣。