windows清理助手报fake.QQZonehelper:
HKEY_CLASSES_ROOT,CLSID\{38004FEF-84E9-47C1-9436-F1F3796971C2}
HKEY_CLASSES_ROOT,CLSID\{BF182DBF-1283-4BD3-86EE-D3239228770C}
HKEY_CLASSES_ROOT,INTERFACE\{38004FEF-84E9-47C1-9436-F1F3796971C2}
HKEY_CLASSES_ROOT,QQZONEHELPER.QQHELPER
HKEY_CLASSES_ROOT,QQZONEHELPER.QQHELPER.1
HKEY_CLASSES_ROOT,TYPELIB\{3FD65D13-88F0-4C26-9ADD-45FC1307E8AB}
HKEY_CURRENT_USER,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{BF182DBF-1283-4BD3-86EE-D3239228770C}
HKEY_LOCAL_MACHINE,SOFTWARE\CLASSES\CLSID\{38004FEF-84E9-47C1-9436-F1F3796971C2}
HKEY_LOCAL_MACHINE,SOFTWARE\CLASSES\CLSID\{BF182DBF-1283-4BD3-86EE-D3239228770C}
HKEY_LOCAL_MACHINE,SOFTWARE\CLASSES\INTERFACE\{38004FEF-84E9-47C1-9436-F1F3796971C2}
HKEY_LOCAL_MACHINE,SOFTWARE\CLASSES\TYPELIB\{3FD65D13-88F0-4C26-9ADD-45FC1307E8AB}
HKEY_LOCAL_MACHINE,SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{BF182DBF-1283-4BD3-86EE-D3239228770C}
网上资料:“QQZoneHelper.dll由netsm.exe创建,而netsm.exe由ntfrs.exe与oodag.exe启动,三个文件均在C:\Windows\System32下。ntfrs.exe是微软用于服务器同步,oodag.exe是O&O公司的磁盘整理工具。”
重新搜索,找到原文所带的图,发现ntfrs与O&O两个服务没有厂商信息,而且映像文件也不存在,怀疑是被病毒修改的。
另附超级巡警的分析(netsm.EXE、QQZoneHelper.DLL)分析与解决方案