昨天晚上接到伊天姑娘傳過來的一個qq自動傳輸文件病毒體的變種 於是趕在今天晚上用了一些時間做了分析和抓圖以 及手工查殺測試 成功了所以總結給大家
首先 被此病毒感染的現象分析如下:
1 病毒偽裝成JPG文件的圖標 但是擴展名是exe 很容易迷惑MM(如圖7)
2 一但使用qq同對方說話 或者是在接收消息欲回復時就會自動傳輸文件給對方 有時可以看見 有時後台運做
3 病毒啟動後 無法調用任務管理器查看進程 打開立即被關閉 可以看見任務管理器一閃而過
4 註冊表編輯器可以使用 所以粗略查看了一下exe和txt的文件關聯 初步斷定此病毒不採取文件關聯技術(圖3和圖4)
5 變換思維方式 可以使用tasklist簡單查看進程發現可疑 使用msconfig查看啟動發現可疑 並使用netstat -an查看端口 並且使用安天端口到進程查看系統情況 初步確定此病毒不監聽端口 既然不監聽 可能會發送郵件 於是立刻斷開網絡(如圖1和圖2)
6 使用安天端口或者taskkill殺掉進程後 發覺並不會重新生成 即使重複雙擊病毒體也不會馬上生成 初步斷定病毒沒有多進程守護
7 從註冊表中找到地址(圖5)刪除system32目錄下的兩個可執行文件後 發覺過3-5s左右會重新生成 看來還是有守護進程 決定到安全模式下查殺 到安全模式下發覺可以使用任務管理器了 證明查殺條件基本成熟
分析完畢後開始手工查殺:
1 首先重新啟動計算機 自檢畫面完後 立刻按F8 直到看到啟動選單 選擇第一個的安全模式 一路回車 進入系統 確定提示警告後 啟動註冊表編輯器
2 打開我的電腦 定位到C:\WINDOWS\system32下 找到slserv.exe和slcsvr.exe(圖片標誌 隱藏屬性)刪除 找到slrundll.exe刪除 找到hookdll.dll刪除 下一步
3 將註冊表編輯器定位到如下主鍵[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
您將看見圖5中的類似情況 現在把我紅框中的兩條鍵名直接刪除
4 重新啟動進入正常狀態的系統 再次打開我的電腦 定位到C:\WINDOWS\system32下 將slcsvr.exe(可能有)刪除 重新再次啟動註冊表定位到前面的run鍵下 找到圖5框中下面那條(如果有就刪除 一般是下面那條)
5 好 現在重新啟動系統 運行qq和任務管理器測試是否還有問題 應該已經查殺 如果還有 那麼請聯繫qq124839278 發信息註明是此帖所說的問題 並附帶您的病毒體....