最近，新的QQ发送文件的病毒比较流行，看表现和之前那个MyRunner什么Hansoft什么的那个QQ发送文件病毒有些类似，这里就个人分析给一点说明：

　　相关的病毒文件：

　　~!KqVo4c.exe

　　comime.exe

　　DHelp.dll

　　msinthk.dll

　　QQDHelp.dll

　　wmimgr.exe

　　病毒通过QQ发送文件的方式传播，发送的文件名极具诱惑，以<文件名>.jpg.exe的形式发送，图标见附件。

　　病毒需要接收并运行后才会感染系统，运行后会显示一个错误对话框（见附件）。

　　病毒在注册表中添加一下信息，禁止用户打开“任务管理器”和“注册表编辑器”：

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

　　"DisableTaskMgr"="0"

　　"DisableRegistryTools"=dword:00000001

　　在注册表中添加标志信息：HKEY_LOCAL_MACHINESOFTWARETopFox

　　还会查找瑞星和QQ的信息，据说发现瑞星会删除瑞星的文件：

　　HKEY_LOCAL_MACHINESOFTWARErisingRav

　　病毒自身复制到系统目录下，文件名为wmimgr.exe。

　　病毒还会修改一些系统程序文件和QQ程序文件，在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息，会被修改的系统文件有：

　　%System%dllcacheexplorer.exe

　　%System%dllcacheiexplore.exe

　　%System%dllcachenotepad.exe

　　%Windows%explorer.exe

　　%Windows%notepad.exe

　　%System%notepad.exe

　　%ProgramFiles%Internet Exploreriexplore.exe

　　还有一些QQ程序也会被修改，比如QQGame.exe等。

　　注：当系统文件被修改时，系统会出现这样的对话框（见附件）。

　　病毒释放DHelp.dll到以下目录：

　　%Windows%

　　%System%

　　%System%wbem

　　QQ目录，如%ProgramFiles%TencentQQGame

　　释放QQDHelp.dll到%ProgramFiles%Tencent目录。

　　添加自启动项：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"Windows Management Instrumentation"="wmimgr.exe"

　　病毒还会从网站上下载另一个盗密码的病毒程序到系统中：

　　%USERPROFILE%Local SettingsTemp

　　~!KqVo4c.exe

　　~H32Jvk.jpg

　　复制自身到系统目录，文件名为comime.exe，释放msinthk.dll。

　　建立自启动项：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"mssysint"="comime.exe"

　　清除步骤

　　首先，我们还是先把病毒的进程结束掉：

　　%System%wmimgr.exe

　　%System%comime.exe

　　然后搜索并删除病毒文件：

　　%System%wmimgr.exe

　　DHelp.dll

　　QQDHelp.dll

　　%USERPROFILE%Local SettingsTemp~!KqVo4c.exe

　　%System%comime.exe

　　%System%msinthk.dll

　　病毒文件删除以后，我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置，方法很多的，如果不会操作，这里提供了一段REG注册表文件，保存为REG文件后直接双击运行后导入注册表即可恢复禁用。

　代码:REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableTaskMgr"=-
"DisableRegistryTools"=-

　　接下来就可以到注册表编辑器删除病毒建立的启动项了：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"mssysint"="comime.exe"

　　"Windows Management Instrumentation"="wmimgr.exe"

　　注：HKEY_LOCAL_MACHINESOFTWARETopFox，这个位置好像是病毒建立的“标志”，该位置如果存在，貌似病毒运行后不会进行过多的“动作”，且会自动退出进程，故可以不删除。

　　好了，病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%dllcache下的文件，所以我们先要恢复%System%dllcache下的系统文件。

　　explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到，比如安装光盘或ServicePack保存的目录，也可以从其它相同操作系统（相同SP）中复制过来。

　　如果是从安装盘I386目录下找，可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件，通过expand命令可以解压缩它们，命令类似：

　代码:expand explorer.ex_ explorer.exe

　　得到正常的源文件后，我们依次进行覆盖操作。

　　先覆盖：

　　%System%dllcacheexplorer.exe

　　%System%dllcacheiexplore.exe

　　%System%dllcachenotepad.exe

　　然后再覆盖或删除：

　　%Windows%explorer.exe

　　%Windows%notepad.exe

　　%System%notepad.exe

　　%ProgramFiles%Internet Exploreriexplore.exe

　　QQ的话，如果方便就覆盖安装一下。

　　通过以上操作应该可以解决问题，以后要注意的是多多提高自己的安全防护意识和尽快掌握一些计算机基础知识，这样就能很快地分辨出像这种QQ上传来的不是什么好东西了。

　　图片附件:qq23.gif

　　1970/1/1 08:00,2B,下载次数:5

　　病毒运行后出现的错误对话框。

　　图片附件:qq21.gif

　　1970/1/1 08:00,4B,下载次数:1

　　系统文件被修改时出现的提示……

　　图片附件:qq22.gif

　　1970/1/1 08:00,5B,下载次数:0