一台电脑的QQ被盗,登录时提示某地方曾经登录,要求激活。检查键盘加密,并没破坏,所以没大在意。 隔几天,再看该电脑时,发现NOD32未升级,升级后提示重启删除C:\\WINDOWS\\system32\\sidjazy.dll(Win32/PSW.OnLineGames.DZQ木马), 用巡警扫描,此木马靠修改注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows项的AppInit_DLLs键来启 动,此键的DLL文件会在电脑启动时加载到WINLOGON系统进程,并加载到随后启动的每一个进程,因卸载WINLOGON系统进程的DLL文件可能令系统蓝屏崩溃,所以很多杀软会提示重启后删除,但效果不太理想,所以决定手动清除。 第一时间是清理所有进程中的sidjazy.dll模块,可以用巡警的进程管理/查找功能清除。我习惯用命令行处理,X-PS(下载地址:http://www.unnoo.com/uploads/freetools/X-PS-v1.0.rar),打开CMD,然后用任务管理器终止EXPLORER进程(资源管理器),有时资源管理器会无法卸载木马DLL模块,影响手动清除,所以最好先终止。在CMD里执行ps /m /f sidjazy.dll(列出哪些进程包含sidjazy.dll模块), ps /e * sidjazy.dll(卸载所有进程中的sidjazy.dll模块),执行这个卸载命令后会出现下图的WINLOGON提示,如果点确定或取消都会立刻蓝屏的,将提示窗口移到一边,不管它。再执行ps /m /f sidjazy.dll看看有没有进程仍加载此模块,如果有残留,继续执行卸载命令,确保卸载完毕。
第二,在命令提示符为C:状态下执行CD C:\\WINDOWS\\SYSTEM32命令,进入C:\\WINDOWS\\SYSTEM32文件夹,执行ATTRIB sidjazy.dll -S -H -R (修改文件属性为普通文件),执行DEL sidjazy.dll删除文件。 删除sidjazy.dll文件后,用巡警清除注册表的AppInit_DLLs键并检查其他项目,发现还有WinSockSPI被sqmapi32.dll修改(NOD32对这个没报警 ),按上面步骤清理,然后修复WinSockSPI。WinSockSPI是底层网络服务,一般只有网络防火墙或其他软件修改,可以截取本机所有网络访问的数据,QQ的密码也许是靠这个来盗取的,懒得分析了,留给老麦吧。
重启后,再检查,木马已经消失。
(ixmy) |