论坛求助弹出QQ错误报告,IE主页被改成http://www.7241.cn/?s1,还有iexplore.exe应用程序错误。在SREng扫描的日志中发现三个可疑对象,须首先全部删除:
C:\Program Files\Common Files\System\admin.obj
C:\Program Files\Common Files\System\QQRdtd.exe
D:\Program Files\锐动天地\OFvNEuL.exe
网上查了一下最后一项中的”锐动天地“,网上多指某光盘记录软件,但此文件名非常可疑,而在http://www.virscan.org/的扫描结果中,也确实有不少杀毒软件报有病毒:
文件名称 : OFvNEuL.exe
文件大小 : 847872 byte
文件类型 : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 85e4af067a6fc69fe9fbd0159b654fa8
SHA1 : 0f9d5a994d369d9f6423b5d7dc1e7153abc82045
扫描结果 : 41%的杀软(15/37)报告发现病毒
时间 : 2009/08/11 11:25:46 (CST)
重点是前两个QQRdtd.exe、admin.obj,根据zlkopen的QQRdtd病毒分析报告(http://bbs.icpcw.com/viewthread.php?tid=1701232),此病毒会释放病毒文件ws2help.dll进入应用程序所在文件夹,从而在程序启动时抢先调用病毒ws2help.dll(注意作为系统文件的ws2help.dll应位于系统文件夹中,如c:\windows\system32,是Windows Sockets应用程序接口,用于支持Internet和网络应用程序,因此删除时要注意不要错删了系统文件),同时还会感染winrar压缩文件。更多分析可参考zlkopen的QQRdtd病毒分析报告。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/454.html
