TrojanDownloader.QQhelper怀齐振说九宁许样.d是否是新病毒?
为防止是变种的QQ盗号木马,首先更改QQ密码来自,再申请密码保护。
多多QQ表情系列(包含两种流氓软件,常和QQ多多表情捆绑一起狼狈为奸姑且合称为多多QQ表情)。
犯罪表现
大多是在用360问答户不知情的情况下(表现为在安装相关软件捆绑安装或上网过程中自动)被安装。
安装程序运行后会产生以下文件:
%ProgramF染几iles%\CommonF才怎她块高岁业iles\SAN\AdInstall.exe
%ProgramFiles%\Co由通mmonFiles\SAN\diskman.exe
%ProgramFiles%\CommonFiles\SAN\svr.dat
%ProgramFi增les%\CommonFiles\SAN\updatesr.ini
%Prog位啊煤二ramFiles%\CommonFiles\Upd\update.dat
%ProgramFiles%\CommonFiles\Upd\update.exe
%ProgramFiles%\qqhelper\index.txt
%ProgramFi非跳抗左评之见属训les%\qqhelper\uninstall.exe
%ProgramFiles%\qqhelper\多多QQ表情.exe
并把diskman.ex跟限移的似胡e进程注册为系统服务,随机自动启动。服务名为“UniversalDiskManager”。
该服务的描述是:“监测和监立川械教年斤降视新的通用磁盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。”(这里是该流氓软件伪装想迷惑我们用户,使我们以为是正常的系统服务。)
我们使用HIJACKJTH乙规易供IS扫描可以检测到该可疑服务项:
O23-NT服务:UniversalDiskManage策解林验晶充岩r-Unknownowner-C:\ProgramFiles数民八滑攻艺爱编类校\CommonFiles\SAN\diskm的走背音剧限an.exe
另外diskman.exe还安插到注册表启动项:
[HKEY_LO衡步末量市府终罗根溶景CAL_MACHINE\SOFTWA汽省RE\Microsoft\Windows\CurrentVersion\Run]
"Update"="%ProgramFiles%\Co日垂mmonFiles\Upd\u高宽百总教pdate.exe"
用防火墙的用户开机常会提示拦截该项目的启动。。
清除办法
1)运行%ProgramFiles%\qqhelper\uninstall.exe可以卸载“多多QQ表情”,但也只是删除了这三个文件:
%ProgramFiles%\qqhelper\index.txt
%ProgramFiles%\qqhelper\uninstall.exe
%ProgramFiles%\qqhelper\多多QQ表情.exe
2)右击任务栏的空白处,点选“任务管理器”或按Ctrl+Alt+Del键。结束“diskman.exe”进程
3)开始菜单→运行services.msc自动打开系统服务配置界面,把UniversalDiskManager服务设置为禁止。
4)删除系统ProgramFiles\CommonFiles\SAN目录和ProgramFiles\CommonFiles\Upd目录。
5)运行SRE→启动项目→注册表→点选
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Update"="%ProgramFiles%\CommonFiles\Upd\update.exe"修复。。
6)我的电脑→“设备管理器”→“查看”菜单→选中“显示隐藏的设备”→在显示区内多出一项“非即插即用驱动程序”,找到“UniversalDiskManager”,右键选择“卸载”,运行regedit打开注册表,编辑→查找“UniversalDiskManager”找到一个删除一个。。或者直接展开到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services目录下,找到UniversalDiskManager键项,彻底删除。展开到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\目录下找到LEGACY_UniversalDiskManager彻底删除。。
7)如果你没有动手能力,或觉得烦琐。你可以下载最新版的“流氓软件清理助手”,重新启动按F8到安全模式下用“流氓软件清理助手”来自动清理。对于个别无法清理的注册表残余,和一楼删除U88的方法一样,点击你要删除的注册表残余项,右键属性→权限→赋予everyone完全权限→确定即可删除。
最后需要注意的是流氓软件也在不断的升级,最近多多QQ表情又出现了新变种:
%ProgramFiles%\CommonFiles\SAN\diskman.exe→升级为%ProgramFiles%\CommonFiles\SAND\client.exe。
服务也出现了新服务名:[QQFace/QQFace]
以下是SRE扫描到的变化的新服务项:
[QQFace/QQFace]
但换汤不换药,具体清理办法还是一样的。只是进程名不一样罢了
标签:新病毒,TrojanDownloader,QQhelper