扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
前些日子,IE时常报错说qqzonehelper.dll出错导致IE崩溃。我把文件(位于C:\Program Files\Internet Explorer\Connection Wizard)删了几次,但还有。
这两天我发现只要重启系统,文件就会复活。我用norton全面扫描,没发现什么。
我火了,电脑不听我的话了,一定要亲自动手好好收拾一下幕后黑手。
我先在virustotal上查了qqzonehelper,5个引擎报病毒(http://www.virustotal.com/zh-cn/analisis/20d748f59fcb4897674feb05721ac393),那问题就是谁每次启动创建它呢?
我特意装了Mcafee,我试图用Mcafee访问控制去截获幕后黑手,但在mcafee还未启动完,qqzonehelper就重现了,没有收集到有用线索。
下面只能进行艰苦的ProcMon分析,我从系统启动初(system进程创建时)就开始记录,生成了长达651MB的海量数据。
先是搜索qqzonehelper,找到了是netsm.exe(网上资料不多,显然不是系统文件,virustotal上Dr.Web与另一杀毒软件报为Adware.QQhelper,果断删除)创建(图1)了他,并注册他(图2)
问题又出现了,我用autoruns查了半天找不到netsm.exe,是谁启动它的?
重新看记录发现名为oodag.exe与ntfrs.exe均企图创建netsm(图3)它并成功创建。
而oodag与ntfrs是由服务开始的(图4)。
?
至此,病毒的脉络清晰了,是两个服务运行恶意程序,恶意程序再释放文件。但ntfrs与oodag是合法程序,一个是微软用于服务器同步,另一个是O&O公司的磁盘整理工具,那他们为何会运行一个恶意程序。我把这两文件也放到virustotal上,依旧是刚才报netsm.exe有毒的两个公司报毒,但官方网站上此病毒的技术详情部分还写正在完成中。。。我通过与两月前系统备份记录比对,发现这两文件是多出来的,于是我删了他们,现在还没发现什么问题。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。