NB的新病毒：Trojan-Downloader.Win32.QQHelper.mo

Trojan-Downloader.Win32.QQHelper.mo是什麼病毒這麼厲害？用咔吧司機也殺不了！查了一下網路，發現是新出現的病毒！

最新文章：

<驚爆內幕>（又是YAHOO）進來看一下飄雪，飛雪，QQhelper木馬的作者


王天平，Yahoo!中國PS部軟體開發工程師
手機：13617621007 13911121265


公司：北京雅虎網諮詢服務有限公司（簡稱：Yahoo! China）
地址：北京市朝陽區光華東路甲8號和喬大廈B座6層
郵編：100026
郵件：wangtianping@3721.com
sunwangme@gmail.com
wangtp@yahoo-inc.com
QQ：42489549
MSN: sunwangme@hotmail.com
Yahoo!: sunwangme
blog：www.mantianx.com


此人是就是目前流行的
惡意軟體

Trojan-Downloader.Win32.QQHelper.mo
piaoxue病毒
feixue病毒的作者


外號酒肉和尚

國內驅動界牛人
對驅動設計及內核技術有深入的研究
所寫技術文章有：

這是去年在YAHOO時的聯繫方式（其中部分可能已經失效，不過大家可以以sunwangme wangtp 王天平 等關鍵詞繼續搜索)




現在不知道是否仍在YAHOO了
或者，這些病毒就是YAHOO的一個秘密業務？
不得而知，前線記者MJ0011將繼續為您傳回第一手資料：P

其主要著作有:
<<xp下sysenter hook>>
透明加密文件系統　TYFilter 3.1
<<Windows 2000 Loader >>
<<恢復2k xp得win32k.sys得KeServiceDescriptorTableShadow >>
<< 基於客戶端的個性化搜索之用戶成分分析的專家系統的設想>>
<<Cnnic讓機器無法啟動的伎倆>>
<< 關於消息鉤子鏈的讀取問題說明: NtUserSetWindowsHookEx返回的HHOOK怎麼換成PHOOK>>
<<MFC程序反彙編之快速定位全局對象構造函數、虛函數表、Command Map（消息映射）>>



王先生一定很後悔呀



一失足成千古恨

沒想到在病毒驅動里留的一個小小的調試信息

居然把自己完全暴露了

可見 做壞事 不細心是不行的呀

貼張證據上來吧

反彙編QQhelper




==================================================================

以上是轉貼的關於可能病毒製造者的信息，未經證實其真實有效

[ 本帖最後由 常殺銀 於 2006-10-22 18:49 編輯 ]

Trojan.DL.QQHelper
病毒分類 WINDOWS下的PE病毒 病毒名稱 Trojan.DL.QQHelper.u
WINDOWS下的木馬程序
木馬下載器。
能隱秘地從網路上下載文件到本地計算機並運行。

採用VC++和SDK方式編寫。

該木馬運行後有以下行為：
1、首先保證內存中只有一個自己在運行。

2、該木馬還有多項功能，命令關鍵詞語有以下這些：popupie：啟動IE瀏覽器；popupad：彈出HTML對話框顯示指定的內容；sethomepage：修改IE首頁；update：在未提示用戶的情況下從網路上下載文件並運行；genscore：將產生一個名為"Score.txt"的文本文件記錄一些信息；setautorun：根據參數添加在SOFTWARE\Microsoft\Windows\CurrentVersion\Run鍵下添加開機自啟動項，等等。命令會根據版本不同而不同。木馬會從網路上下載命令文件。

3、該木馬還可能通過修改物理內存達到隱藏進程的目的。

某網站已通過該木馬瘋狂提升ALEXA中的排名。

這是一個QQ表情自帶的東西，採用Rootkit技術隱藏自身，正常模式下無法刪除，請到安全模式下進行全盤殺毒！

卡巴斯基報警查出了這個Trojan-Downloader.Win32.QQHelper.mo，顯示c:\windows\systerm32\olqyyu90.dll是帶毒文件，但是總是無法完全清除，即使在安全模式下刪除后，啟動后依然會帶毒。

非常頑固的一個病毒，而且因為是新病毒，網上並沒有太多的相關信息。


無奈之下，在註冊表中的啟動項中刪除了該鍵值，然後開機以光碟啟動DOS，進入系統目錄手動刪除了該文件。
現在應該說已基本清除了該病毒，只是開機時顯示調用olqyyu90.dll失敗，也就是說病毒文件被清除了，使用正常，但調用病毒文件的鉤子仍然存在（似乎是rundll32在調用它）。
如果大家有好辦法，可以交流一下。

一：首先下載Windows清理助手
官方下載地址：
http://www.arswp.com/download/arswp/arswp.rar

然後下載這個文件，將virus.ini複製到 清理助手 INI文件夾中!
http://www.arswp.com/bbs/attachment.php?aid=12

進入安全模式清理，成功！

在安全模式里用卡巴也刪除不掉。下面是我手動刪除的方法：

下載一個叫unlocker的軟體，很小的，然後安裝。 C:\WINDOWS\system32 下找到病毒文件（文件應該是一個DLL文件，由字母和數字組成的，卡巴應該是能查到這個病毒但是刪不了，可以在卡巴里找到這個病毒文件名），右擊選擇unlocker進行解鎖（安裝完那個軟體後會在右鍵菜單上生成一個unlocker的菜單項）。然後就可以把病毒文件刪除了。再進入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那個文件同名，只是擴展名不一樣）用同樣的方法先解鎖后刪除。然後在運行里輸入REGEDIT打開註冊表編輯器，分別在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的項並刪除(這是刪除病毒文件的註冊項）

這個病毒的製造者來自我們中國，受害人也是我們廣大的中國網民。
有本事有理想，怎麼不發到全球網路上去，只在這裡毒害我們自己人！？

難道是有商業利益在裡面？（左手發布病毒程序，右手賣殺毒程序）還是怕美國FBI全球通緝！？------不敢製造國際影響，只毒害用QQ等中文軟體的中國用戶。有本事你不停的發病毒到國際網路試試，看看國際反病毒專家有沒有能力把你抓獲？！

病毒製造者不繩之以法，病毒還會層出不窮，並且不斷升級超過殺毒軟體的發展進度。中國網民永遠是受害者。難道病毒發起人可以逍遙法外？

病毒製造者真是個敗類！你要是不是只選擇中國人為發布對象，我就不會那麼氣了！