Rootkit.Agent.yq Trojan.DL.QQHelperJ.a 彻底解剖

Trojan.DL.QQHelperJ.a(pncqw.dll)    Rootkit.Agent.yq(lyuyr.sys) 运行在:C:\WINDOWS\system32\pncqw.dll     C:\WINDOWS\System32\DRIVERS\lyuyr.sys   是一个驱动保护式的病毒,病毒做者把这个盗密的***注入在explorer.exe里并加载驱动保护

 

 

***注册成为服务,并开机启动.

 

 

有多个文件组成

 

 

此病毒把文件属性也修改了,

 

 

若是有防火墙,会有提示的,此***,没有穿墙功能.

 

 

你们看explorer.exe是以同步发送的,要是插入的有灰鸽子,或者别的远程控制病毒,那你的电脑就在他的掌控之下了,由于此病毒加载了驱动保护,即便在安全模式下也不清除不掉.

 

 

远程的服务器在江江办应该是个固定的IP

 

 

你们看explorer.exe是以同步发送的,要是插入的有灰鸽子,或者别的远程控制病毒,那你的电脑就在他的掌控之下了,由于此病毒加载了驱动保护,即便在安全模式下也不清除不掉.