大家知道这个是什么吗？

宝马，传说 中网上黑人养的

晕 这个是病毒.. 杀毒软件 检测下吧..

此病毒比较烦人，删掉后很容易重复出现，因为它在C盘下做了两个备份，你在文件里边是看不到的，具体解决方法下面会讲。

QQ7bzd.exe病毒行为：

生成C:\Program Files\Common Files\System\QQ7BZd.exe 生成C:\Program Files\Common Files\System\admin.obj 生成C:\Program Files\Common Files\System\htrn_jis.dll 生成C:\Program Files\Common Files\System\htrn_jis.tmp 生成C:\Program Files\Common Files\System\q29.exe 生成C:\Program Files\WinRAR\w？help.dll（这个具体文件名忘记了，是一个隐藏的DLL文件） 生成C:\Documents and Settings\Administrator\Local Settings\Temp\可执行文件N多 生成C:\Documents and Settings\all user\Local Settings\Temp\可执行文件N多 生成C:\Documents and Settings\你的用户名\Local Settings\Temp\可执行文件N多 生成C:\WINDOWS\Temp\可执行文件N多 替换系统文件C:\WINDOWS\system32\comdd2.dll 替换系统文件C:\WINDOWS\system32\qmgr.dll 替换系统文件C:\WINDOWS\system32\upnphost.dll 替换系统文件C:\WINDOWS\system32\xmlprov.dll 替换系统文件C:\WINDOWS\system32\userinit.exe 网络下载木马地址： http://www.mscmd.cn/tools 感染可执行文件： 据我所知感染的软件有：金山词霸、电子签名、NOKIa PC套件、WINRAR、瑞星、RTX、QQ、电信3G无线上网程序等等 注册表映像劫持： 注册表路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 下面会有好多劫持项： [Debugger]: (C:\WINDOWS\system32\svchost.exe)

解决方法：

第一：下载windows清理助手及autorun病毒防御者，并更新到最新版，然后断掉网络 首先用autorun病毒防御者查杀病毒，会清理一部分被修改的注册表，然后用windows清理助手查杀，这时你会查到20多个病毒及木马，因为这个病毒是带下载功能的，会感染木马群。

windows清理助手会提示你有系统文件被替换，具体的自己看下详细清单，找一台安全的电脑，将系统文件COPY一份到ARSWP3\SIF文件夹下，然后点清理，重启电脑。

第二：通过如上步骤，差不多已经将现有的木马能查杀的都查杀掉了，这时轮到手动清除QQ7BZD.EXE这个顽固的东西了。

首先用进程管理器或者兵刃或者WSYSCHECK，将QQ7BZD.EXE进程关闭，这里请大家注意，尽量用鼠标操作，因为QQ7BZD.EXE设置了很多组合快捷启动键，你不小心按下的键盘可能会使它重新启动。然后打开我的电脑，点搜索，所有文件和文件夹，输入QQ7BZD.EXE，搜索范围是本地磁盘。

结果应该会查到3个相关文件，路径为：

C:\Program Files\Common Files\System\QQ7BZd.exe C/Program Files/Common Files/System/QQ7BZd.exe C/Program Files/Common Files/System/QQ7BZd.exe

这里就是关键的为什么你只清理了C:\Program Files\Common Files\System\QQ7BZd.exe这个之后，病毒还会出现的原因了，不用找路径，直接在搜索的结果中，一个一个的删除即可。这个病毒文件就删除了。

第三：清除掉主要的病毒文件后，我们来清理一下所有的TEMP文件夹中的所有文件，一定要全部删掉，具体路径为：

C:\Documents and Settings\Administrator\Local Settings\Temp\ C:\Documents and Settings\all user\Local Settings\Temp\ C:\Documents and Settings\你的用户名\Local Settings\Temp\ C:\WINDOWS\Temp\ D:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files

将以上路径下的文件能删的全部删掉，如果是可执行文件，不能删也得删，用POWER REMOVE或者WSYSCHECK等等工具操作。

第四：清理顽固的注册表映像

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ 这个路径下的所有的都可以删掉，无所谓的，如果删到后来，有一个叫什么DRR？.EXE（记不清了）的项，内容是DEBUG ，键值是：c:\windows\system32\svchost.exe

这个键值删不掉，在键值上点右键，权限，改成EVERYONE完全控制，提示无法保存权限配置，这是因为改项的所有者被更改了，你改成本机administrator的时候，依然提示无法保存权限，接下来就是关键了，

解决方法：点一下它的上级项Image File Execution Options，右键，权限，高级，所有者选项卡，选择administrator(你的计算机名\administrator)，下面有一个替换子容器及对象的所有者，前边一定要打钩，点确定。然后回到下级目录中的删不掉的那个项那里，点右键，权限，高级，EVERYONE，选择完全控制权限，确定。这时就可以修改权限了，改完后，点删除即可。

通过上面几步，基本上这个病毒就被解决了，当然，我最上面说的病毒生成的那些文件，都要删掉，方法不再多说，最后用卡巴斯基杀毒，将会发现好多可执行文件被感染，直接删除，重新安装需要的软件即可。