病毒名稱︰Trojan.PWS.QQPass.gKb6
發現日期︰2002-10-14
病毒類型︰木馬病毒
傳播範圍︰低
危害級別︰低
傳播速度︰低

病毒介紹︰

Trojan.PWS.QQPass.gKb6木馬病毒能夠偷取用戶的密碼訊息。此病毒是運用Visual Basic語言編寫的，其長度為123,392位元組。此病毒感染安裝有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me作業系統的計算機，而不會感染安裝有Windows 3.x, Macintosh, Unix, Linux作業系統的計算機。

1.此木馬病毒一旦被激活並開始營運，它將終止下列程式的營運︰
Kav9x.exe
Smenu.exe
Ravmon.exe（僅限在Windows NT 4.0操作環境中）。

2.此病毒會將文件%windir%\Notepad.exe更名為%windir%\Mspad.exe。

3.此病毒會將其本身複製到下列文件中︰
%windir%\Eudcedit.exe
%windir%\Freecell.exe
%windir%\Kaedit.exe
%windir%\Msscr.exe
%windir%\Notepad.exe
%system%\Mstray.exe。

其中︰%windir%和%system%是變化的，此木馬病毒會自動尋找機器上的系統目錄，並將自身複製到系統目錄下，即︰
C:\Windows\System (Windows 95/98/Me)
C:\Winnt\System32 (Windows NT/2000)
C:\Windows\System32 (Windows XP)。

4.此病毒能夠生成鍵值:
SystemKav %system%\MSTRAY.EXE
到註冊表編輯器︰
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,使得機器啟動時病毒就會自動營運。

5.此病毒會對註冊表編輯器中下列各項默認鍵值進行更改︰
（1）HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\regfile\shell\open\command的默認鍵值改為︰
(Default) %windir%\KAEDIT.EXE %1。
（2）HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\scrfile\shell\open\command的默認鍵值改為︰
(Default) %windir%\MSSCR.EXE %1。
（3）HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\chm.file\shell\open\command的默認鍵值改為︰
(Default) %windir%\MSSCR.EXE %1。

6.此病毒開始執行后可以做下列活動︰
（1）重新啟動計算機
（2）打開註冊文件
（3）執行螢幕保護程式
（4）打開系統幫助文件。

解決方案︰

1.及時升級殺毒軟體，之后認真在整個硬碟上查殺此病毒，徹底清除掉查到的Trojan.PWS.QQPass.gKb6木馬病毒。

2.到註冊表編輯器:
（1）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中將鍵值︰
SystemKav %system%\MSTRAY.EXE清除。

（2）HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\regfile\shell\open\command中將默認鍵值︰
(Default) %windir%\KAEDIT.EXE %1清除。

（3）HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\scrfile\shell\open\command中將默認鍵值︰
(Default) %windir%\MSSCR.EXE %1清除。

（4）HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\chm.file\shell\open\command中將默認鍵值︰
(Default) %windir%\MSSCR.EXE %1清除。


----------
我重的好像是Trojan-PWS(卡巴顯示)
連續掃兩次一直掃到
感覺沒砍乾淨
睡飽再來掃掃看
中毒後我得到的獎賞是很低頻率的重新開機 讓我輕忽了他

怎麼灌了S-XP後就一直重木馬
是有後門喔
現在被反偵測也不能跟新
看來要回去灌正版了