[转帖]盗Q木马isignup.sys、isignup.dll解决方案

Rico_Y

病毒名称：Trojan-PSW.Win32.Delf.oc（Kaspersky） 病毒别名：Trojan.PSW.QQPass.qxp（瑞星） 　　　　　 Win32.Troj.PSW.QQ.34086（毒霸） 病毒大小：34,003 字节 加壳方式：NSPack 样本MD5：9bfbd1410ea834f7ce39edbeaef7e683 样本SHA1：35b3e15a38f37682c88f72c559ca54698d9cccaf 发现时间：2006.12 更新时间：2006.12 关联病毒： 传播方式：通过恶意网页传播，其它木马下载 技术分析 ========== 这是一个盗Q木马，运行后复制自身到： %ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll 释放动态链接库文件注入进程： %ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys 在当前目录生成_xiaran.bat删除主程序原文件： :try del "exe" if exist "exe" goto try del %0 创建ShellExecuteHooks启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"="" [HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32] @="%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys" 创建注册表信息： [HKEY_CURRENT_USER\Software\Microsoft\qqjdd] "DL"="2" 清除步骤 ========== 1. 删除病毒创建的ShellExecuteHooks启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}" [HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}] 2. 重新启动计算机 3. 删除病毒文件： %ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys %ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll 4. 删除病毒创建的注册表信息： [HKEY_CURRENT_USER\Software\Microsoft\qqjdd]