遇到qqhelper.mo病毒时使用的手工清除方法

　　晚上LP开机正准备登录QQ时，卡巴突然传出刺耳的杀猪声，提示发现木马： Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\klseoq72.dll，文件:: C:\WINDOWS\system32\drivers\klseoq72.sys,然后一阵扫描并强制重启，本以为重启后卡巴能将病毒干掉，谁知重启进入系统后再次提示发现此病毒，并强行重启，如此陷入不停发现病毒－强行重启－再发现病毒的死循环。看来得自己动手清除了,清除过程如下：　

　　进入安全模式，先手工结束explorer.exe进程，然后查找klseoq72.dll与klseoq72.sys，手工删除失败后，再进注册表搜索klseoq72.sys，发现此木马位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet01\Services;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet02\Services;HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet03\Services中名称均为klseoq72,先将其服务项删除，再搜索klseoq72.dll并将有关键值与项也一并删除，重启电脑进安全模式，以为能手工删除klseoq72这两个文件了，却发现再次失败，看来此木马做成驱动服务级了，安全模式下手工也无法删除。

　　如果分区为FAT32就好办了，直接去DOS下干掉（此处猪8J同志就会说了,谁叫你用NTFS，你就用刀子捅他),但本硬盘所有分区均为NTFS，又不想去翻箱倒柜找WINPE/ERD2003光盘,咋办呢?想到D盘中有以前下载的N度提供的remotehelp.zip,此包中有unlock,想试试unlock是否能删除,于是重启电脑进正常模式,先还是老规矩结束explorer.exe再运行,接着安装unlock,再查找klseoq72.sys/klseoq72.dll,对着这两个文件右击,选"unlock",此时就会出现一个对话框,显示被system进程占用,不用理会它,再点弹出的对话框中的"unlock",然后就可以删除这两个难缠的文件了,如果还不能删除那就再unlock一遍!最后再进注册表搜索klseoq72.sys/klseoq72.dll.将找到的项与值全部干掉,最后重启电脑,发现没有了杀猪声是多么美妙的一件事呀.

　　上网查了一下 Trojan-Downloader.Win32.QQHelper.mo,发现此木马是QQ某个表情带的,自己用的是珊瑚虫版而非官方版,不知是否与此相关?

　　此木马在系统中会随机生成dll与sys文件,我电脑中的klseoq72.dll/klseoq72.sys可能与你电脑中的不一样,如有雷同,纯属巧合!

　　仓促之间完成此贴,难免有不足之处,请各位见谅,如有网友中此木马可参考我的清除思路,不必生搬硬套.谢谢!还是那句话:对制造病毒/恶意/流氓软件的人,抓住后强烈建议对男的先切JJ再送黑煤矿做苦工,女的送乌干达\卢旺达\刚果(金)

（出处：清风网络学院）