科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道QQZoneHelper.DLL,Adware.QQhelper清除

QQZoneHelper.DLL,Adware.QQhelper清除

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

前些日子,IE时常报错说qqzonehelper.dll出错导致IE崩溃。我把文件(位于C:\Program Files\Internet Explorer\Connection Wizard)删了几次,但还有。

来源:论坛整理 2008年12月26日

关键字: 病毒查杀 安全防范 病毒资料

  • 评论
  • 分享微博
  • 分享邮件

前些日子,IE时常报错说qqzonehelper.dll出错导致IE崩溃。我把文件(位于C:\Program Files\Internet Explorer\Connection Wizard)删了几次,但还有。

这两天我发现只要重启系统,文件就会复活。我用norton全面扫描,没发现什么。

我火了,电脑不听我的话了,一定要亲自动手好好收拾一下幕后黑手。

我先在virustotal上查了qqzonehelper,5个引擎报病毒(http://www.virustotal.com/zh-cn/analisis/20d748f59fcb4897674feb05721ac393),那问题就是谁每次启动创建它呢?

我特意装了Mcafee,我试图用Mcafee访问控制去截获幕后黑手,但在mcafee还未启动完,qqzonehelper就重现了,没有收集到有用线索。

下面只能进行艰苦的ProcMon分析,我从系统启动初(system进程创建时)就开始记录,生成了长达651MB的海量数据。

先是搜索qqzonehelper,找到了是netsm.exe(网上资料不多,显然不是系统文件,virustotal上Dr.Web与另一杀毒软件报为Adware.QQhelper,果断删除)创建(图1)了他,并注册他(图2)

问题又出现了,我用autoruns查了半天找不到netsm.exe,是谁启动它的?

重新看记录发现名为oodag.exe与ntfrs.exe均企图创建netsm(图3)它并成功创建。

而oodag与ntfrs是由服务开始的(图4)。

?

至此,病毒的脉络清晰了,是两个服务运行恶意程序,恶意程序再释放文件。但ntfrs与oodag是合法程序,一个是微软用于服务器同步,另一个是O&O公司的磁盘整理工具,那他们为何会运行一个恶意程序。我把这两文件也放到virustotal上,依旧是刚才报netsm.exe有毒的两个公司报毒,但官方网站上此病毒的技术详情部分还写正在完成中。。。我通过与两月前系统备份记录比对,发现这两文件是多出来的,于是我删了他们,现在还没发现什么问题。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章