在新年前的最后一周（2003-01-24），一个叫 QQ 杀手6.75的新 木马 来到了天天，并于2003-02-10升级为6.8版。天天在提供下载的同时，也对大家发出了“由于其隐蔽性，将不容易卸载，不推荐使用。”的警告。但最近还是有网友误中了这个 木马 ，而且常规的方法无法彻底删除它（本版上就有我们讨论的贴子呀）。瑞星15.21版（2003-02-06更新）尚无法查出此 病毒 。不甘心之余，今天花了一天的时间，尝试了一下： 该 木马 的目标：盗取 服务 器名、e-mail地址及口令、邮件标题、Password文件、SMTP ID及用户名（不像它的名字宣称的只是盗取 QQ 密码 呀），自动检测并终止防 病毒 软件 的进程（如：kav9x.exe、kavsvc9x.exe、kavsvcui.exe、ravmon.exe、smenu.exe以及watcher.exe等） 中毒时的症状： 当前进程中多出eSplorer.exe（6.8版为explorerA.exe） 防 病毒 软件 实时监控被莫名其妙地关闭并且无法重新打开 各文件夹中出现随机文件名的*.exe文件，而且删除了还会再产生（文件大小一般在139264字节(6.8版为106496字节)左右） 注册表 中被新建的键值（下列键值中在括号外的为6.75版，括号内的为6.8版的表现）： HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run Explorer 随机文件名 (进程中为eSplorer.exe)（E XP LORER 随机文件名(进程中为explorerA.exe)） HKEY _ CLASSES _ ROOT\ win675 youxiang _ mima （\win68 youxiang _ mima） HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ CLASSES\win675 mima _ wenjian （\win68 mima _ wenjian） HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ CLASSES\win675 fasong _ youxiang （\win68 fasong _ youxiang） HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ CLASSES\win675 yonghu _ ming （\win68 yonghu _ ming） HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ CLASSES\win675 fasong _ zhuti （\win68 fasong _ zhuti） HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ CLASSES\win675 smtp _ biaozhi （\win68 smtp _ biaozhi） HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ CLASSES\win675 fuwuqi （\win68 fuwuqi） 注册表 中被修改的键值（下列键值中在括号外的为6.75版，括号内的为6.8版的表现）： HKEY _ CLASSES _ ROOT\ chm.file\ shell\ open\ command (默认) 随机文件名 %1 （(默认) 随机文件名 %1） HKEY _ CLASSES _ ROOT\ exefile\ shell\ open\ command (默认) 随机文件名 %1 %* （(默认) 随机文件名 %1 %*） HKEY _ CLASSES _ ROOT\ inifile\ shell\ open\ command (默认) 随机文件名 %1 （(默认) 随机文件名 %1） HKEY _ CLASSES _ ROOT\ regfile\ shell\ open\ command (默认) 随机文件名 %1 （(默认) 随机文件名 %1） HKEY _ CLASSES _ ROOT\ scrfile\ shell\ open\ command (默认) 随机文件名 %1 （(默认) 随机文件名 %1） HKEY _ CLASSES _ ROOT\ txtfile\ shell\ open\ command (默认) 随机文件名 %1 （(默认) 随机文件名 %1） 可见，所有*.chm，*.exe, *.ini, *.reg, *.scr, *.txt文件皆被关联。如果用户删除了那些随机文件名的 病毒 拷贝，则上述相映类型的文件将无法正常打开! 手动删除的方法： 终止eSplorer.exe（6.8版为explorerA.exe）进程 将regedit.exe复制或改名为regedit.com，并运行regedit.com（因为*.exe文件已经被关联了，直接运行regedit.exe会使 病毒 重新加载。） 删除 注册表 中的下列项（下列键值中在括号外的为6.75版，括号内的为6.8版的表现）： HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ E XP LORER字符串值，对应程序为随机文件名.exe（E XP LORER字符串值，对应程序为随机文件名.exe） HKEY _ CLASSES _ ROOT\ win675主键（win68主键） HKEY _ LOCAL _ MACHINE\ Software\ Microsoft\ CLASSES\ win675主键(win68主键，实际上此处的CLASSES都可以直接删除) 修改下列键值如下： HKEY _ CLASSES _ ROOT\ chm.file\ shell\ open\ command (默认) %windir%\hh.exe %1 HKEY _ CLASSES _ ROOT\ exefile\ shell\ open\ command (默认) %1 %* HKEY _ CLASSES _ ROOT\ inifile\ shell\ open\ command (默认) %windir%\NOTEPAD.EXE %1 HKEY _ CLASSES _ ROOT\ regfile\ shell\ open\ command (默认) regedit.exe %1 HKEY _ CLASSES _ ROOT\ scrfile\ shell\ open\ command (默认) %1 /S HKEY _ CLASSES _ ROOT\ txtfile\ shell\ open\ command (默认) %windir%\NOTEPAD.EXE %1 重新启动，然后： 删除（建议先在软盘上备份，以免误删除）各文件夹内修改时间在2003-01-01至2003-12-31间的所有大小为139264字节（6.8版为106496字节）左右带有随机文件名的.exe文件 查找并删除msread.dt和winpao.exe 病毒 安装源程序 查找并删除eSplorer.exe(139264字节)（explorerA.exe(106496字节)）。 杀毒中的体会（反复测试了6次了）： 它一开始在HKLM\...\Run下创建的启动键值并非直接指向eSplorer.exe（explorerA.exe），而是指向一个随机文件名，并运行此文件此后似乎它自己做了一下判断，如果目标目录已经有eSplorer.exe（explorerA.exe）文件，则启动它们，作为进程载入系统。如果没有则生成eSplorer.exe（explorerA.exe） 服务 端但无论如何都会自己再生成一些 病毒 拷贝，因此， 病毒 被发现得越晚，查到的 病毒 拷贝越多。。。（我的感觉是这样） 它多次利用了Recycled目录保存自己的副本（还记得用Recycled目录隐藏文件的方法吗？），因此，在删除关联文件的键值时，应该采用删一个键值就同时删一个文件的方法（最后还应该再统一查找一遍），以免遗漏。如果在Recycled目录下无法看到键值对应的 病毒 文件，应运行winfile直接进Recycled目录，找到并彻底删除它。 再次测试并修改。 瑞星刚升级的15.22版可以查 QQ 杀手6.75了，但6.8还不行