如果你不幸已经运行了,请看下面:
文件会在D盘新增一个文件fdsf.bmp (它实际上是一个可执行文件),在C盘windows目录新建3个文件(mssoft.bat,rxing.bat,SbiePst.dat),其中一个批处理可以中止qq进程,
然后在qq的目录下新增三个文件:comres.dll,hexil.dll,joachimpeiper.dat.同时会修改\windows\system32\comres.dll 为病毒(后门)版本。
另外会在C盘根目录新增两个新文件,其中一个是可执行文件,sttr.exe(也许名字会变)。
根据分析,这个东西除了会终止qq外,还会主动中止一些主流杀毒软件对它的监视。
解决建议
1、通过任务管理器终止sttr.exe (开始>运行>taskmgr,在进程中找到他并终止)
2、删除c盘病毒新增的两个文件,d盘的那个文件
3、删除病毒在windows目录下新增的3个文件
4、删除它在qq目录下新增的文件
5、打开c:\windows\system32目录,将comres.dll 随便该个名字,比如改成comres.dl-(系统不允许将文件删除,也不允许直接覆盖,只能通过改名的方式进行)
6、将没有问题的comres.dll拷贝到c:\windows\system32目录
7、修改自己的qq密码
8、删除qq,重启电脑后重新安装(可选)
针对windows xp的 安全版本的comres.dll
文件大小601.5kb
MD5: 15A1EAB0D3C9A9C02AA953C642272D2B
SHA1: 8CCCEF636A06D81D9C93E2CA7E76B66B8629963F |