Storm_Center

　　这几天每次打开QQ，总是跳出警告窗口：“警告：发现盗号木马，请立即清除，您的QQ密码可能已被窃取！QQ安全中心发现1个盗号木马，请立即清除，并尽快修改QQ密码。名称：系统hosta文件 类型：盗号木马  文件路径：c:\windows\system32\drivers\etc\hosts ”，窗口上只有一个“立即清除”的按钮，连个忽略的设置也没有，只能直接点窗口右上角的“X”来关闭。

　　病毒现象是桌面突然出现多个快捷方式图标，分别是：免费电影、千千体育直播、超级好玩小游戏、淘宝网今日打折特价区，还有一个IE快捷方式，估计是指向某网站的。也有可能图标不是上述这些名字，或者有其它的名称。这些图标删除后重启电脑又会再次生成。经检查，发现启动文件夹中有一可疑启动项，启动一个vbs文件。

　　进程中发现一可疑对象：gqakueo.exe，后经查找为一服务[gqakueoy / gqakueo]创建，路径为c:\documents and settings\user\application data\gqakueo\gqakueo.exe。在试图运行SREng工具全面检查系统时，发现SREng无法运行。

　　此种病毒2008年就出现过，主要现象是在屏幕上飘着一个图片，图片上写着“This computer is being attacked”。由于在论坛没有得到详细的信息，只能根据以前出现过的几例日志对比，得到以下内容，可以根据下述项目尝试进行清理。

　　同事的电脑进程中出现可疑程序，终止后过一会又出现。检查发现中了木马，加载木马服务，同时也通过任务计划运行木马程序。可借助windows清理助手，还能清理该木马群相关的注册表残余项。

　　IE自动弹出窗口，任务管理器的进程表中可看到多个IE进程。检查用SREng扫描的日志，发现可疑的IE插件：[adad Class]　{F28CF86E-FCE7-48F5-B3AC-4743AA1B2754} <C:\WINDOWS\system32\wingelu.dll, >　建议清除。

　　同事说他的电脑有问题，检查后发现中了木马，经过清理修复，特此记录。有几点注意：以下列出的可能并非完全，仍可能存在残留；清理过程可以使用windows清理助手协助操作；此电脑上安装的系统为win2000，系统目录为c:\winnt；还有msgswcam.dll注意与正常文件区别。

　　中毒症状：360及杀毒软件无法启动，重装杀毒软件无效，安全模式无法进入，无法查看隐藏文件，个别系统文件被病毒感染。使用360顽固木马专杀、金山急救箱、安天防线等工具，无效或者无法彻底清除，病毒文件反复生成、感染。 

　　中毒现象：360打不开，上网有关360的网页自动关闭，电脑经经查杀病毒木马后，系统反应与运行软件很慢。

　　正好也是那台曾经中毒的老电脑有问题，顺便过去看看它还没有病毒木马在上面。今天出现的问题很简单，开机自检报内存错误，等硬件问题解决闻，进入系统看看，发现还是有木马存在，再次进行清理。