欢迎光临endurer@blogchina

[2006-03-23]手工查杀QQ尾巴yuuikkj.EXE (第4版)

关键词： QQ尾巴,yuuikkj.ex                                          

endurer　原创

2006-03-22 第4版　整理补充

2006-03-22 第3版　补充：回忆查杀灰鸽子过程的文章连接

2006-03-21 第2版　补充：该病毒自动发送的信息及图片

2006-03-21 第1版

该QQ尾巴会自动发送：

---

 这部电影看过了么
hxxp://218.88.133.203:22404

 这本书里有个故事，看了你一定有惊奇的发现
hxxp://218.88.133.203:22404

刚刚在聊天室抓下来的东东，不容易才搞到的哦
hxxp://218.88.133.203:22404

我想和你视屏，你先看看这个，能看到我的录象
hxxp://www5.qqhelp.net/#sqq4sp5

我的号码换了，给你一个新的号码
hxxp://www5.qqhelp.net/#sqq4sp5

---

等信息，并传送扩展名为.pif的文件。

在上个星期已经发现这个QQ尾巴了。

昨晚有位网友也中了这个东东，利用QQ的远程协助进行助理。

到http://endurer.ys168.com，下载HijackThis，扫描log，只发现hosts文件被修改：为瑞星杀毒软件和江民杀毒软件的升级网址指定了IP地址。用HijackThis修复。

再用HijackThis生成启动项列表，发现一个可疑的服务：

---

yuuikkj: D:\WINDOWS\system32\yuuikkj.EXE -service (autostart)

---

＊endurer注：该网友的Windows系统安装在D盘。

找到文件D:\WINDOWS\system32\yuuikkj.EXE，打包备份，然后删除。

在D:\WINDOWS\system32里还可以看到此QQ尾巴自动发送的文件，全部删除。

开始--》控制面板--》管理工具--》服务，把yuuikkj服务禁用。

打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service，找到并删除yuuikkj子键。

Kaspersky报为Trojan-Proxy.Win32.Agent.iu，瑞星报为Trojan.QQ.MsgSender.ao。

BTW，在该网友的电脑上还发现了灰鸽子的一个新变种，也手工清除了，可参考：

手工查杀灰鸽子新变种

【作者: endurer】【访问统计:】【2006年03月21日 星期二 14:21】【 加入博采】【打印】