（netsm.EXE、QQZoneHelper.DLL）分析與解決方案

（netsm.EXE、QQZoneHelper.DLL）分析與解決方案

       根據(jù)用戶反應QQzone插件存在問題，巡警團隊立即對這個插件進行了分析，該插件由Netsm.EXE釋放，并偽裝成騰訊公司的插件，經(jīng)測試官方發(fā)布的QQ并沒有附帶這個插件，此插件一般綁在正常軟件里，用戶在安裝這些軟件的同時，可能會被安裝上這個插件，安裝這個插件之后會導致關閉IE時出錯，產(chǎn)生無法正常關閉的現(xiàn)象發(fā)生，影響用戶正常使用計算機。

一、流氓軟件的相關分析：

流氓軟件標簽：
文件名：  netsm.EXE
危害級別：3
感染平臺：Windows
病毒大小：97,213(字節(jié))
SHA1： 99BAA85B16C39811A236FF15D4A8CD0A13C45464

該流氓軟件的行為：
1、運行以后釋放文件：
   %ProgramFiles%\Internet Explorer\Connection Wizard\QQZoneHelper.dll
    

   經(jīng)檢查安裝官方qq之后并不會出現(xiàn)此文件，該文件偽裝成騰訊公司的插件

2、添加的注冊表
   [HKEY_CLASSES_ROOT\CLSID\{BF182DBF-1283-4BD3-86EE-D3239228770C}]
   [HKEY_CLASSES_ROOT\CLSID\{38004FEF-84E9-47C1-9436-F1F3796971C2}]  
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF182DBF-1283-4BD3-86EE-D3239228770C}]



二、解決方案

下載超級巡警專殺工具，查殺流氓軟件。下載地址：
http://u4.dswlab.com/QQZoneHelperkiller.zip
手工清除方法：
1、刪除生成的文件：
   %ProgramFiles%\Internet Explorer\Connection Wizard\QQZoneHelper.dll
2、刪除添加的注冊表
   [HKEY_CLASSES_ROOT\CLSID\{BF182DBF-1283-4BD3-86EE-D3239228770C}]
   [HKEY_CLASSES_ROOT\CLSID\{38004FEF-84E9-47C1-9436-F1F3796971C2}]
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF182DBF-1283-4BD3-86EE-D3239228770C}]

三、安全建議

1、立即安裝或更新防病毒軟件并對內(nèi)存和硬盤全面掃描(推薦安裝超級巡警)。
2、根據(jù)實際安全級別需要適當考慮選用防火墻，并進行正確的設置。
3、禁用或刪除不必要的的帳號，對管理員帳號設置一個強壯的密碼。
4、禁用不必要的服務。
5、不要使用IE內(nèi)核的瀏覽器。
6、不要隨意下載不安全網(wǎng)站的文件并運行。
7、下載和新拷貝的文件要首先進行查毒。
8、不要輕易打開即時通訊工具中發(fā)來的鏈接或可執(zhí)行文件。


注： %System% 是一個可變路徑，在windows95/98/me中該變量是指%Windir%\System，在WindowsNT/2000/XP/2003/VISTA中該變量指%Windir%\System32。其它：

%SystemDrive% 系統(tǒng)安裝的磁盤分區(qū)
%SystemRoot% = %Windir% WINDODWS系統(tǒng)目錄
%ProgramFiles%應用程序默認安裝目錄
%AppData% 應用程序數(shù)據(jù)目錄
%CommonProgramFiles%公用文件目錄
%HomePath% 當前活動用戶目錄
%Temp% =%Tmp% 當前活動用戶臨時目錄
%DriveLetter% 邏輯驅(qū)動器分區(qū)
%HomeDrive% 當前用戶系統(tǒng)所在分區(qū)


超級巡警：徹底查殺各種木馬，全面保護系統(tǒng)安全。
更多免費工具下載：http://www.sucop.com

QQZoneHelper專用清除工具.zip 下載