|
[推荐]手工查杀QQ尾巴yuuikkj.exe
2006-03-22 第3版 补充:回忆查杀灰鸽子过程的文章连接
2006-03-21 第2版 补充:该病毒自动发送的信息及图片
2006-03-21 第1版
该QQ尾巴会自动发送:
这部电影看过了么
hxxp://218.88.133.203:22404
这本书里有个故事,看了你一定有惊奇的发现
hxxp://218.88.133.203:22404
刚刚在聊天室抓下来的东东,不容易才搞到的哦
hxxp://218.88.133.203:22404
我想和你视屏,你先看看这个,能看到我的录象
hxxp://www5.qqhelp.net/#sqq4sp5
我的号码换了,给你一个新的号码
hxxp://www5.qqhelp.net/#sqq4sp5
等信息,并传送扩展名为.pif的文件。
在上个星期已经发现这个QQ尾巴了。
昨晚有位网友也中了这个东东,利用QQ的远程协助进行助理。
到http://endurer.ys168.com,下载HijackThis,扫描log,只发现hosts文件被修改:为瑞星杀毒软件和江民杀毒软件的升级网址指定了IP地址。用HijackThis修复。
再用HijackThis生成启动项列表,发现一个可疑的服务:
yuuikkj: D:\WINDOWS\system32\yuuikkj.EXE -service (autostart)
*endurer注:该网友的Windows系统安装在D盘。
找到文件D:\WINDOWS\system32\yuuikkj.EXE,打包备份,然后删除。
在D:\WINDOWS\system32里还可以看到此QQ尾巴自动发送的文件,全部删除。
开始--》控制面板--》管理工具--》服务,把yuuikkj服务禁用。
打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service,找到并删除yuuikkj子键。
Kaspersky报为Trojan-Proxy.Win32.Agent.iu,瑞星报为Trojan.QQ.MsgSender.ao。
BTW,在该网友的电脑上还发现了灰鸽子的一个新变种,也手工清除了,可参考:
| 没有路由密码权限时的鸽子上线方 | 08-23 |
| 完全解析网页后门和挂马 | 04-02 |
| 真实的网络攻击取证纪实 | 03-27 |
| 利用404错误页面挂马 | 03-21 |
| 解密风暴 | 03-21 |
| 社会工程学在黑客中的应用 | 01-02 |
| 轻轻松松解密各种网页木马 | 12-21 |
| SA权限无xp_cmdshell时取权限又一 | 12-14 |
| sqlserver2005中恢复xp_cmdshell | 11-10 |
| 实现无net.exe和net1.exe添加系统 | 10-26 |
| 用U盘轻松去除XP管理员密码 | 10-26 |
| 教你多种保护措施限用移动硬盘 | 10-09 |
您现在的位置: