遇到qqhelper.mo病毒时使用的手工清除方法

　　晚上LP开机正准备登录QQ时，卡巴突然传出刺耳的杀猪声，提示发现木马： Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\klseoq72.dll，文件:: C:\WINDOWS\system32\drivers\klseoq72.sys,然后一阵扫描并强制重启，本以为重启后卡巴能将病毒干掉，谁知重启进入系统后再次提示发现此病毒，并强行重启，如此陷入不停发现病毒－强行重启－再发现病毒的死循环。看来得自己动手清除了,清除过程如下：　

　　进入安全模式，先手工结束explorer.exe进程，然后查找klseoq72.dll与klseoq72.sys，手工删除失败后，再进注册表搜索klseoq72.sys，发现此木马位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet01\Services;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet02\Services;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet03\Services中名称均为klseoq72,先将其服务项删除，再搜索klseoq72.dll并将有关键值与项也一并删除，重启电脑进安全模式，以为能手工删除klseoq72这两个文件了，却发现再次失败，看来此木马做成驱动服务级了，安全模式下手工也无法删除。

　　如果分区为FAT32就好办了，直接去DOS下干掉（此处猪8J同志就会说了,谁叫你用NTFS，你就用刀子捅他),但本硬盘所有分区均为NTFS，又不想去翻箱倒柜找WINPE/ERD2003光盘,咋办呢?想到D盘中有以前下载的N度提供的remotehelp.zip,此包中有unlock,想试试unlock是否能删除,于是重启电脑进正常模式,先还是老规矩结束explorer.exe再运行,接着安装unlock,再查找klseoq72.sys/klseoq72.dll,对着这两个文件右击,选"unlock",此时就会出现一个对话框,显示被system进程占用,不用理会它,再点弹出的对话框中的"unlock",然后就可以删除这两个难缠的文件了,如果还不能删除那就再unlock一遍!最后再进注册表搜索klseoq72.sys/klseoq72.dll.将找到的项与值全部干掉,最后重启电脑,发现没有了杀猪声是多么美妙的一件事呀.

　　上网查了一下 Trojan-Downloader.Win32.QQHelper.mo,发现此木马是QQ某个表情带的,自己用的是珊瑚虫版而非官方版,不知是否与此相关?

　　此木马在系统中会随机生成dll与sys文件,我电脑中的klseoq72.dll/klseoq72.sys可能与你电脑中的不一样,如有雷同,纯属巧合!

　　仓促之间完成此贴,难免有不足之处,请各位见谅,如有网友中此木马可参考我的清除思路,不必生搬硬套.谢谢!还是那句话:对制造病毒/恶意/流氓软件的人,抓住后强烈建议对男的先切JJ再送黑煤矿做苦工,女的送乌干达\卢旺达\刚果(金)

关键词：

【推荐给好友】【关闭】

最新五条评论

查看全部评论

评论总数 0 条

您的评论

用户名： （新注册） 密　码： 匿名：

·用户发表意见仅代表其个人意见，并且承担一切因发表内容引起的纠纷和责任
·本站管理人员有权在不通知用户的情况下删除不符合规定的评论信息或留做证据
·请客观的评价您所看到的资讯，提倡就事论事，杜绝漫骂和人身攻击等不文明行为

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有