Tags:
机子从周一装好系统后就再没有重启过,刚才打开一个页面(DRL的)后,突然GB假死……等了3分钟无果,只好reset。不料,重启完毕后NOD32跳出报警,说发现了马,文件名为ntdhcp.exe。清除不可,删除不可,于是用Ur uninstall禁止其自启动,然后重启……这次正常了,到system32下面查看,已经没有了足迹,尸体也没半个。
google之,答案如下:
---------------------------------------------------------------
病毒名称:Trojan/PSW.QQpass.br
中 文 名:“QQ大盗”
病毒类型:木马
危害等级:★★
影响平台:Win 9x/2000/XP/NT/Me/2003
“QQ大盗”病毒可以利用IE浏览器mht漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的chm文件,“QQ大盗”病毒即内嵌其中并开始自动运行。
1、 该木马程序运行后,将在系统文件夹生成:%SystemDir%\NTdhcp.exe,28400字节。
并添加注册表项:
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“NTdhcp” = %SystemDir%\NTdhcp.exe
这样,在Windows启动时,木马得以自动运行。
2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。
“QQ大盗”病毒防范措施:未感染病毒用户:升级杀毒软件病毒库到最新病毒库,开启病毒实监控。将系统打上MHT文件下载执行漏洞补丁程序。
微软官方补丁网址:www.microsoft.com/technet/security/bulletin/MS04-013.mspx
已感染病毒的用户:首先需安装正版杀毒软件并升级最新病毒库,对电脑进行全盘查杀。运行REGEDIT注册表编辑器,定位到
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
手工清除办法:
首先运行任务管理器,查找并结束掉NTdhcp.exe进程
按照病毒文件所在位置找到系统目录下的病毒文件,手工删除。运行REGEDIT注册表编辑器,定位到
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
系统加固办法:
1、使用WINDOWS UPDATE功能自动更新系统补丁。
2、下载安装MHT文件下载执行漏洞补丁。
MHT漏洞官方补丁下载地址:
www.microsoft.com/technet/security/bulletin/MS04-013.mspx
---------------------------------------------------------------
后记:
1、系统的Auto Update是开着的,不知为什么会没有打上这个补丁;
2、这几天浏览过的CHM只有一个,就是从DRL群里面下载的。如果这个人在上传时说了而我当时不在群里,那算我活该;如果这个人是有意为之,那么就应该人人得以诛之了。
