QQ杀手6.75和6.80版的手动杀除方法

标签：qq技巧,qq空间技巧,qq空间装扮技巧,http://www.yf1234.com QQ杀手6.75和6.80版的手动杀除方法,
　　windowsQQ杀手

　　该木马的目标：


　　盗取服务器名、e-mail地址及口令、邮件标题、Password文件、SMTP ID及用户名（不像它的名字宣称的只是盗取QQ密码呀）；自动检测并终止防病毒软件的进程（如：kav9x.exe、kavsvc9x.exe、kavsvcui.exe、ravmon.exe、smenu.exe以及watcher.exe等）； 

　　中毒时的症状：

　　当前进程中多出ESPLORER.EXE；

　　防病毒软件实时监控被莫名其妙地关闭并且无法重新打开；

　　各文件夹中出现随机文件名的*.exe文件，而且删除了还会再产生（文件大小一般在136k左右)；

　　注册表中被新建的键值：

　　HKEY_CLASSES_ROOT win675 "youxiang_mima"

　　HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "fasong_youxiang"

　　HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "fasong_zhuti"

　　HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "fuwuqi"

　　HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "mima_wenjian"

　　HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "smtp_biaozhi"

　　HKEY_LOCAL_MACHINE Software Microsoft CLASSESwin675 "yonghu_ming"

　　注册表中被修改的键值：

　　HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run “Esplorer.exe”或随机文件名

　　HKEY_CLASSES_ROOT chm.file shell open command "(默认)" 随机文件名”" %1

　　HKEY_CLASSES_ROOT exefile shell open command "(默认)" 随机文件名”"%1" %*

　　HKEY_CLASSES_ROOT inifile shell open command "(默认)" 随机文件名” %1

　　HKEY_CLASSES_ROOT regfile shell open command "(默认)" “随机文件名” "%1"

　　HKEY_CLASSES_ROOT scrfile shell open command "(默认)" 随机文件名” %1" /S

　　HKEY_CLASSES_ROOT txtfile shell open command "(默认)" 随机文件名” %1

　　可见，所有*.chm，*.exe, *.ini, *.reg, *.scr, *.txt文件皆被关联。如果用户删除了那些随机文件名的病毒拷贝，则上述相映类型的文件将无法正常打开!

　　手动删除的方法：

　　终止ESPOLRER.EXE进程；

　　将regedit.exe复制或改名为regedit.com，并运行regedit.com（因为*.exe文件已经被关联了，直接运行regedit.exe会使病毒重新加载。）

　　删除注册表中的下列项：

　　HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run ESPLORER 或随机文件名

　　HKEY_CLASSES_ROOT win675主键

　　HKEY_LOCAL_MACHINE Software Microsoft CLASSES win675主键

　　修改下列键值如下：

[1] [2]  下一页

QQ杀手6.75和6.80版的手动杀除方法