手工清除QQ尾巴yuuikkj.exe（Kaspersky报为-Trojan-Proxy.Win32.Agent.iu，瑞星报为Trojan.QQ.MsgSender.ao）(第1版)

endurer　原创

2006-03-21 第1版

该QQ尾巴会自动发送：“我的QQ号码已经改变，这是新的QQ号码”之类的信息（晚上再贴上有关图片），并传送扩展名为.pif的文件。

在上个星期已经发现这个QQ尾巴了。昨晚有位网友也中了这个东东。利用QQ的远程协助进行助理。

到http://endurer.ys168.com，下载HijackThis，扫描log，未见异常。

再用HijackThis生成启动项列表，发现一个可疑的服务：

yuuikkj: D:\WINDOWS\system32\yuuikkj.EXE -service (autostart)

*endurer注：该网友的Windows系统安装在D盘。

找到文件D:\WINDOWS\system32\yuuikkj.EXE，打包备份，然后删除。

在D:\WINDOWS\system32里还可以看到此QQ尾巴自动发送的文件，全部删除。

开始--》控制面板--》管理工具--》服务，把yuuikkj服务禁用。

打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl\SetService，找到并删除yuuikkj子键。

重新启动计算机。

对于此QQ尾巴文件yuuikkj.EXE，Kaspersky报为Trojan-Proxy.Win32.Agent.iu，瑞星报为Trojan.QQ.MsgSender.ao。

BTW，在该网友的电脑上还发现了灰鸽子的一个新变种，也手工清除了，有空再表述。

【深 度 阅 读】 相 关 文 章

·Trojan.QQ.Pass.68
·Trojan.QQpass7.e
·Trojan.QQPSW.EasyGet.u
·Trojan.QQpass7.a.enc