华军上有问题的腾讯QQ2005 珊瑚虫版华军上有问题的“腾讯QQ2005 珊瑚虫版”（转自月亮上面全是水）

前几天看到有用户说华军上面的“腾讯QQ 2005 珊瑚虫版”有带病毒，还贴了图，我一看图里是个PcShare，有意思，赶紧下载一个来看看。

记得是某个连接下载的IPQQ2005安装程序有问题，好像是“宿迁电信 [本地下载]”（排在比较前面的），我下载的就是这个。下载下来的安装程序图标就不正常，是一个普通EXE的图标，正常的IPQQ2005.exe安装程序应该是个绿色的圆，圆里面有个向上白色的箭头。

今天下午正好有个空闲，把有问题的IPQQ2005.exe翻出来看看。那有问题的IPQQ2005.exe运行后会把两个文件释放到临时目录里并运行它们，一个就是正常的IPQQ2005.exe了（应该是正常的吧），另一个是wmidrsf.exe，这个wmidrsf.exe应该就是PcShare的程序了。

果然，wmidrsf.exe运行后释放文件：
%System%\Ydqztyef.d1l
%System%\drivers\Ydqztyef.sys

这类文件看着很眼熟吧……

%System%\drivers\Ydqztyef.sys的服务项是：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ydqztyef]

在Windows 2000系统里，%System%\Ydqztyef.d1l一般会修改：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
下面的“ServiceDll”；
在Windows XP/2003里，%System%\Ydqztyef.d1l则可能会修改：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters]
或
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters]
下面的“ServiceDll”。

P.S. 不知道现在新版本的PcShare是怎么样的，还没有去看过。

具体如何处理我这里就不说了，根据操作系统和使用工具的不同可以有多种方式来处理这个东西，比如在安全模式下，又比如使用IceSword等工具。