今天远程搞到,不知是否新鲜。
症状描述:
QQ 安装目录下会出现两个QQ图标的文件,一个是QQ.EXE,一个是QQ .EXE(有空格)
注意:点击指向病毒文件的QQ图标也可打开并登陆QQ,但是不能保存聊天记录,并且点击QQ木马查杀按钮无效。估计是盗号的病毒。
登陆界面和正常界面无异,不同于流行的那个带箭头的输入框的病毒。
看上面的图标:原始的qq.exe程序是
.被隐藏了的那个。假冒的那个,下面的qq名字偏左,是因为后面有空格的缘故,而且图标偏胖些。
如果重新设置显示隐藏文件等选项,隐藏文件将不可见。多数杀软被劫持,hosts文件被修改。
srengps.exe和wsyscheck.exe没有被劫持。可以正常打
.开。直接删除病毒文件,并修复相关项目即可。
发现的其他可疑文件:
xgstesp.sys=可疑驱动
system32目录下的3个藏文件:
svhostkeep.exe
svhost.exe,svhostkeep.exe (注意
.这是一个文件名字)
svhost.exe
藏在回收
.站中的病毒文件:
c:\recycled\krnln.exe
以上文件样本稍后上传到论坛样本区,原始sreng的扫描报告在病毒分析区。
您的位置: