进程中发现一可疑对象:gqakueo.exe,后经查找为一服务[gqakueoy / gqakueo]创建,路径为c:\documents and settings\user(当前登录的帐户名,不用同用户可能有所不同)\application data\gqakueo\gqakueo.exe。在试图运行SREng工具全面检查系统时,发现SREng无法运行,一运行,其执行程序SREngLdr.exe就马上被删除,即使改名运行也是一样结果。随后又运行windows清理助手arswp,发现可以可以展开程序,但无法升级,执行升级不一会就会自动关闭。而360安全卫士虽然能正常运行,但除了报告前面那个服务与HOSTS中有一群指向203.209.253.250的网址有风险外,却查不出更多的东西,查了下203.209.253.250这个IP,竟然说是360的,但指向它的网址除了360以外还有其它杀毒软件的升级地址,如NOD32、卡巴、金山毒霸等。
后来经过对比检查,发现了一个可疑的程序c:\windows\system32\ots.dll,ots.dll插入到包括explorer.exe在内的多个系统进程中,由于这个ots.dll没有文件信息,虽然创建日期与修改日期不是最新的,但并不代表它不值得怀疑。然而要直接删除它却不容易,除非把它从所有插入的进程中解锁出来,尝试几次后均失败,甚至wsyscheck也在解锁过程中被其关闭。最后使用了冰刃的强制删除才把它去掉(之前也使用了powerrmv,但并不能删除它),然后马上在c:\windows\system32下新建一个文件夹并命名为ots.dll,以防其再生(第一次就是没有建同名文件夹,使其有机会还魂,浪费了时间),最后再重启电脑。重启后,ots.dll没有再出现,而SREng也能打开了,arswp也能升级。可见确实是这个ots.dll的问题。将ots.dll上传查毒(多引擎查毒网站网址见常用安全工具网站),卡巴、江民、金山、NOD32等都会报其为病毒,而瑞星、趋势则未有反应(截止1月12日版本) ,而从所报的病毒名来看,象是QQ盗号木马。确实从QQ目录还有一个可疑文件C:\Program Files\Tencent\QQ\Bin\vazfnf.dll,这个vazfnf.dll核对其它QQ安装目录都没发现它,而且vazfnf.dll也和ots.dll一样插入多个进程中。然而删除vazfnf.dll后,启动QQ会报找不到vazfnf.dll,重装QQ后故障排除,可见QQ并不需要vazfnf.dll,而可能QQ被病毒感染,建议清除病毒后重装QQ修复。
附清除方案:
1.删除以下文件:
c:\windows\system32\ots.dll
c:\windows\system32\pjey.dll
c:\windows\system32\rlga.dll
c:\windows\system32\ezto.dll
c:\windows\system32\kfzu.dll
c:\documents and settings\user\application data\gqakueo\gqakueo.exe
C:\Program Files\Tencent\QQ\Bin\vazfnf.dll
2.修复下面各项:
删除注册表项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<tyx><C:\windows\system32\ots.dll>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
<{DF2469BE-E136-9CE1-BD02-479CD0358ADE}><C:\WINNT\system32\PJEY.dll>
<{358ACE13-469C-F247-0368-ACF2368BD024}><C:\WINNT\system32\RLGA.dll>
<{479CD025-58BD-1368-257A-BE1357ACF145}><C:\WINNT\system32\EZTO.dll>
<{257ABE03-469B-F146-0358-ACF1358ADF24}><C:\WINNT\system32\KFZU.dll>
<{358ACE13-479C-F247-1368-ADF2368BD024}><C:\WINNT\system32\ZTOI.dll>
禁用服务:
[gqakueoy / gqakueo] <C:\Documents and Settings\user\Application Data\gqakueo\gqakueo.exe>
删除浏览器加载项(BHO)
[ ] <{CF1458BD-E035-9BE0-ADF2-469BDF247ACE}> <C:\windows\system32\EZTO.dll>
最后记得清理临时文件、修复HOSTS,并重装QQ。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/594.html
