遭遇modrl.sys病毒—Trojan.PWS.QQPass

互联网 | 编辑: 杨剑锋 2006-11-03 06:00:00原创

   像往常一样打开QQ,突然诺顿跳出来,提示发现病毒文件“C:\WINDOWS\system32\Drivers\modrl.sys”,病毒名字叫作“Trojan.PWS.QQPass”。好家伙,一看这名字便是个QQ木马,上次便不小心中了马丢过一次密码,后来用密码保护找了回来,这回居然又有人动我宝贝QQ号的主意,实在可恨,暗自庆幸诺顿将它查出来隔离了,于是随手从隔离区将它删了。再次启动QQ,居然诺顿又跳出来了,仍然是这个木马,看来还是个不肯轻易就范的顽固分子。

    自己动手,丰衣足食。先去WINDOWS系统目录和注册表里找了找它的老窝,还是没找着。怎么办?“有问题百度一下”,于是便上百度搜了搜,果然找到不少资料,原来这东西便是鼎鼎有名的“QQ密码大盗”。看来受到荼害的不止我一个,市井每多豪杰之士,网络江湖中自然更是卧虎藏龙,耐心找了找,果然找到了解决方法。这家伙是一种rootkit恶性木马,用瑞星扫描的话,会将它命名为“rootkit.callgate.gen”。rootkit基于底层的驱动sys文件启动,不易卸载和杀除,这次才灭,下次又出来了,野火烧不尽,春风吹又生,所以杀毒软件一般也拿它没办法。典型的基于rootkit的恶意应用就是恶名昭著的3721了。


    好了,知道这病毒的来历,便可以对症下药了,你可以到网上找一些专杀工具来查杀这个木马,当然,手工查杀其实也很简单。下面,便将我手工查杀此病毒的过程公布给大家,如果不幸你遇到了这个木马,那就可以依样画葫芦灭掉它了。以下是杀毒步骤:

1、打开注册表编辑器。

 在“开始-运行”中输入“regedit”后按确定便可以打开注册表编辑器,找到如下节点并删除:

展开:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
删除右栏中的load

展开:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除:9(指向C:\windows\system32\Ravdm.exe)

2、如果你的QQ是设成随系统启动的话,请先取消掉自动启动。

3、重启系统。

4、显示隐藏文件。
 
在资源管理器窗口中选“工具—文件夹选项—查看”,将隐藏属性文件设为可见的,如下所示:

5、找到并删除下列文件:

C:\WINDOWS\system32\Ravdm.exe

C:\WINDOWS\system32\drivers\morld.sys

 

6、删除该文件:C:\Program Files\Tencent\QQ\TIMPlatform.exe (这是安装QQ时的默认路径,如果你将QQ装在别的盘,地址会不同,总之就是在你的QQ安装目录下,下同。)
   然后将C:\Program Files\Tencent\QQ\TIMlatfrom.exe改名为TIMPlatform.exe。

   

    注意上面这张截图中红线圈起来的部分,木马程序用病毒文件替换掉了原来的TIMPlatform.exe,而将原来正常的TIMPlatform.exe改为TIMPlatfrom.exe并隐藏了,李代桃僵,这样每次你运行QQ时它就悄悄启动了,现在我们将上面那个病毒文件TIMPlatform.exe删除,将下面这个隐藏文件TIMPlatfrom.exe改回原名TIMPlatform.exe。

   OK,做完这些步骤,一切搞定,现在你的QQ又安全啦,当然,这只是暂时的安全而已,要知道,还有更多的威胁等正觊觎着你的QQ呢。

   


   

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑