木马ShareQQ手工清除方法

网络与通信

杨景彬

一直对清除木马比较着迷，某日在网上闲逛时正好看到一款后台窃取QQ密码程序──ShareQQ监测系统，据作者和使用者传功能很强大，而且很难查杀，并且是最后一个版本，于是就下载下来准备研究。解压后生成ConfigShareQQ.exe和ShareQQ.exe两个程序，明眼人一看就知道ShareQQ.exe为木马的主程序，ConfigShareQQ.exe则是木马的配置程序，用来对ShareQQ.exe进行配置用的。
按照默认的配置结束后，就开始了手工清除之路。
以前曾清除过另外一个QQ密码窃取软件Qicqthief，按照清除它的思路，先检查QQ的安装文件夹Tencent，查看是否有新增加的或者被改写的文件，结果是没有！于是打开注册表编辑器regedit.exe检查注册表，查看到[HKEY_LOCAL_MA
CHINE\Software\Microsoft\Windows\CurrentVersion\Run]时，发现多了一个名为“netconfig”的字符串，立刻删除！重启机器，发现“netconfig”字符串又出现在注册表中，清除失败！
看来刚才有些太着急了，只顾清除注册表，忘记清除木马文件了。在第一次检查注册表时发现netconfig字符串的启动程序是Windows\System目录下的spolsv.exe文件，于是用进程管理软件(我用的是Windows优化大师中的“系统安全优化”→“进程管理”功能)终止正在运行的spolsv.exe这个进程，然后到Windows\System文件夹下将spolsv.exe文件删除，顺便删除的还有debug.dll、MSIME5f594f58.dll两个文件，因为它们的生成时间和spolsv.exe是相同的，宁可错杀一千，不可放过一个！删除“netconfig”字符串后重启，发现spolsv.exe重新生成，又失败！
一时陷入困境，暗自分析：重启电脑后，注册表中木马启动键值和后台运行程序自动恢复，这说明在Windows启动时就有程序对它进行了恢复，看来有必要重新检查注册表！于是，点击“开始”菜单中的“运行”，在“运行”中输入regedit.exe，到注册表中查找启动时要用到的主键，发现[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下有一个winin字符串，启动的是Windows目录下的winin.exe文件，这个文件太可疑了！查看一下它的生成日期，正是我运行shareQQ.exe的时间，啊，原来它就是元凶！删除winin.exe文件，再删除注册表中的winin字符串，然后再删除前面两次所删除的程序和注册表键值，重启，整个系统终于清净了──成功啦！
由于该木马可以自由定义后台监听程序名和注册表中的启动字符串，所以如果你中了该木马可能与我所讲的并不完全相同，不过，经过一番研究发现，无论下木马者怎么配置，有两个文件名始终不会变：debug.dll和winin.exe，注册表里的winin字符串也不会变。所以，要清除ShareQQ，在Windows\System目录下找出与debug.dll文件生成时间相同的文件，将它们都删除，顺手将Windows文件夹下的winin.exe文件也删除，然后在Run主键里删除木马启动字符串，这样木马ShareQQ就可彻底清除干净了！