endurer 原创
2006-03-21 第1版
该QQ尾巴会自动发送:“我的QQ号码已经改变,这是新的QQ号码”之类的信息(晚上再贴上有关图片),并传送扩展名为.pif的文件。
在上个星期已经发现这个QQ尾巴了。昨晚有位网友也中了这个东东。利用QQ的远程协助进行助理。
到http://endurer.ys168.com,下载HijackThis,扫描log,未见异常。
再用HijackThis生成启动项列表,发现一个可疑的服务:
yuuikkj: D:\WINDOWS\system32\yuuikkj.EXE -service (autostart)
*endurer注:该网友的Windows系统安装在D盘。
找到文件D:\WINDOWS\system32\yuuikkj.EXE,打包备份,然后删除。
在D:\WINDOWS\system32里还可以看到此QQ尾巴自动发送的文件,全部删除。
开始--》控制面板--》管理工具--》服务,把yuuikkj服务禁用。
打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetService,找到并删除yuuikkj子键。
重新启动计算机。
对于此QQ尾巴文件yuuikkj.EXE,Kaspersky报为Trojan-Proxy.Win32.Agent.iu,瑞星报为Trojan.QQ.MsgSender.ao。
BTW,在该网友的电脑上还发现了灰鸽子的一个新变种,也手工清除了,有空再表述。