QQ聊天病毒之通杀技法
<P><FONT color=#ee1111>来源:西部E网 </FONT></P><P><a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>的广泛使用,使得以<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>为平台的<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>在网络中肆意横行,在下面我就来看看常见的几种<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A><a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>的特征及其清除方法。 </P>
<P> <a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>的广泛使用,使得以<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>为平台的<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>在网络中肆意横行,在下面我就来看看常见的几种<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A><a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>的特征及其清除方法。 </P>
<P> 小心“武汉男生”<a href="http://hackbase.com/hacker" target="_blank" >木马</A><a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A> </P>
<P> <a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>名称:"武汉男生"(Troj<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>WHBoy) </P>
<P> <a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>种类:<a href="http://hackbase.com/hacker" target="_blank" >木马</A> </P>
<P> 感染系统:Windows 95/98/Me/NT/2000/<a href="http://hackbase.com/skill/XP" target="_blank" >XP</A> </P>
<P> <a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>特性: </P>
<P> 该<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>通过聊天<a href="http://down.hackbase.com/" target="_blank" >软件</A>Oicq进行传播。当<a href="http://hackbase.com/skill" target="_blank" >计算机</A>被该<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>感染后,用户一旦运行了<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>,<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>就会不断搜寻当前已经打开的<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>"发送消息"窗口,并在找到"发送消息"窗口后,自动发送一条消息到其他用户那里,"我的相片..看看..(某网站网址)",一旦收到此消息的得用户点击了该网站的链接,就遭受了<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>的感染。 </P>
<P> <a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>运行后在系统目录下生成三个<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>文件,分别为ABCHELP.EXE,WINhelp32.exe和DirectX.exe,其中后2个文件的属性是隐含的。(系统目录在Windows 9x/Me下为C:WindowsSystem,在Windows NT/2000下为 C:WINNTSystem32,在Windows <a href="http://hackbase.com/skill/XP" target="_blank" >XP</A>下为 C:WindowsSystem32) </P>
<P> <a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>修改<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>,使<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>能随系统启动而自动运行。 </P>
<P> 在HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe" </P>
<P> 在HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.exe" </P>
<P> 广大用户应及时升级杀毒<a href="http://down.hackbase.com/" target="_blank" >软件</A>,启动"实时监控"系统,在使用OICQ聊天时也要留意,不要轻易打开任何链接,以免遭受<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>的感染。 </P>
<P> 清除<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>的相关操作 </P>
<P> 1、删除<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>在系统目录下释放的<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>文件 </P>
<P> 2、删除<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>在<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>下生成的键值 </P>
<P> 3、运行杀毒<a href="http://down.hackbase.com/" target="_blank" >软件</A>,对<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>进行全面清除 </P>
<P> 防范<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>使用杀毒<a href="http://down.hackbase.com/" target="_blank" >软件</A>有五大禁忌 </P>
<P> (一)忌偷懒不升级 </P>
<P> (二)忌忽略对邮件的保护 </P>
<P> (三)忌疏忽设置各项功能 </P>
<P> (四)忌轻信网络的安全性 </P>
<P> (五)忌轻视数据备份 </P>
<P><a href="http://www3.hackbase.com/netletter/love" target="_blank" >爱情</A>森林 </P>
<P><a href="http://www3.hackbase.com/netletter/love" target="_blank" >爱情</A>森林的清除: </P>
<P> (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的<a href="http://hackbase.com/hacker" target="_blank" >木马</A>程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该<a href="http://hackbase.com/hacker" target="_blank" >木马</A>程序。 </P>
<P> (2)打开<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>编辑器,删除HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 </P>
<P> 2、变种一的清除: </P>
<P> (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 </P>
<P> (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 </P>
<P> (3)打开<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>编辑器,删除HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe"的键值。恢复HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>CLASSES<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) </P>
<P> (4)若根目录下存在文件setup.txt或mima.txt,将其删除。 </P>
<P> 3、变种二的清除: </P>
<P> (1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的<a href="http://hackbase.com/hacker" target="_blank" >木马</A>程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该<a href="http://hackbase.com/hacker" target="_blank" >木马</A>程序。 </P>
<P> (2)打开<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>编辑器,删除HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 </P>
<P> 4、变种三的清除: </P>
<P> (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 </P>
<P> (2)删除系统文件夹(Win9x通常为Windows\system,WinNt通常为WinNt\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 </P>
<P> (3)打开<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>编辑器,删除HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为intarnet=%windowssystem%\rundll.exe"的键值。恢复HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>CLASSES<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>ROOT\txtfile\shell\open\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) </P>
<P> (4)恢复IE的设置。打开<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>编辑器,恢复HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page,HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINE\Software\Microsoft\Internet Explorer\Main\Default<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>Page<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>URL,HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644.htm#" target="_blank" >_</A>MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page的设置为原来的内容。 </P> 5、变种四的清除: <P> (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的<a href="http://hackbase.com/hacker" target="_blank" >木马</A>程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该<a href="http://hackbase.com/hacker" target="_blank" >木马</A>程序。 </P><P> (2)打开<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>编辑器,删除HKEY<a href="http://www3.hackbase.com/hacker/safety/200501229644_1.htm#" target="_blank" >_</A>LOCAL<a href="http://www3.hackbase.com/hacker/safety/200501229644_1.htm#" target="_blank" >_</A>MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为Explorer的键值 </P><P> 相关杀毒<a href="http://down.hackbase.com/" target="_blank" >软件</A>下载地址: </P><P> <a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>消息发送机<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>专杀<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A> </P><P> <a href="http://user.net163.com/piao/down/down.asp?id=962&no=1" target="_blank" >http://user.net163.com/piao/down/down.asp?id=962&no=1</A> </P><P> 金山专杀<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>的下载 </P><P> <a href="http://gz3.duba.net/kpub/source/down.php?id=20" target="_blank" >http://gz3.duba.net/kpub/source/down.php?id=20</A> </P><P> SCKISS<a href="http://www3.hackbase.com/netletter/love" target="_blank" >爱情</A>森林专杀,可以完全查杀全部5个变种 </P><P> <a href="ftp://gz.duba.net/download/othertools/Duba<a%20href=" target="_blank" >_</A>SCKiss.EXE">ftp://gz.duba.net/download/othertools/Duba<a href="http://www3.hackbase.com/hacker/safety/200501229644_1.htm#" target="_blank" >_</A>SCKiss.EXE</A> </P><P> “狩猎者”专杀<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A> </P><P> <a href="http://gz3.duba.net/kpub/source/dow...=gz&t=ftp&id=38" target="_blank" >http://gz3.duba.net/kpub/source/dow...=gz&t=ftp&id=38</A> </P><P> 删除<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>“缘”<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A> </P><P> 平时我很少去看类示的东西,但因为是很要好的朋友所以也觉得挺希奇的然后就点进进入了,进入的画面如下: </P><P> 点击进入后会自动提示下载名为Book.exe的程序。 </P><P> 我立即点击"打开"运行了程序,运行后并没有想象中的电子图书出现,而IE又自动打开了两个网页。我马上意识到肯定是一个<a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>程序了。 </P><P> 之后我点击<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>上的朋友联系,但<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>马上自动发送上面的那段<a href="http://hackbase.com/hacker" target="_blank" >代码</A>。(我晕)而且每当有好友给我发信息系统都会自动回复那段话。(不幸的是我的好几个朋友也由于相信我运行了它).结果招来一堆朋友的臭骂。 </P><P> 中招了当然就得修复了,以前也不是没有碰到过这样的事情(IE,启动而被改是常有的事)。可到瑞星,金山下载<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A>专用删除<a href="http://hackbase.com/hacker/tool" target="_blank" >工具</A>都无果,使用超级兔子也不行。修改了注册个后重启机器毛病依旧。后来使用了下面的办法将其彻底删除。 </P><P> 找到下列文件[假定你系统装在C:][我的系统是Win xp]{建议你在C:盘查找 NotePed.exe 注释: NotePad.exe才是Window文本编辑器} </P><P> C:windowssystem oteped.exe </P><P> C:windowssystemTaskmgr.exe </P><P> C:Windows oteped.exe </P><P> C:Windwossystem32 oteped.exe </P><P> 删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉 </P><P> 注意:有两个名字叫"Taskmgr.exe"进程,一个是<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A><a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>,一个是你刚才打开的"Window 认为管理器" </P><P> 然后到<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>中找到"HKey<a href="http://www3.hackbase.com/hacker/safety/200501229644_1.htm#" target="_blank" >_</A>Local<a href="http://www3.hackbase.com/hacker/safety/200501229644_1.htm#" target="_blank" >_</A>MachinesoftwareMicrosoftwindowsCurrentVersionRun" </P><P> 找到"Taskmgr" 删除 </P><P> 如果你还不明白那请你先找到那几个文件,然后再按下面的图例操作: </P><P> 1.在任务栏上点击鼠标右键,选择任务管理器 </P><P> 2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。 </P><P> 3.点击开始-运行,输入Regedit进入<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A> </P><P> 4.在<a href="http://hackbase.com/skill/regedit" target="_blank" >注册表</A>中找到 "HKey<a href="http://www3.hackbase.com/hacker/safety/200501229644_1.htm#" target="_blank" >_</A>Local<a href="http://www3.hackbase.com/hacker/safety/200501229644_1.htm#" target="_blank" >_</A>MachinesoftwareMicrosoftwindowsCurrentVersionRun,将Taskmgr"项删除"。 </P><P> 删除后重启<a href="http://hackbase.com/skill" target="_blank" >计算机</A>,《缘》<a href="http://hackbase.com/hacker/qq" target="_blank" >QQ</A><a href="http://hackbase.com/hacker/virus" target="_blank" ><a href="http://www3.hackbase.com/News/virus" target="_blank" >病毒</A></A>宣布彻底删除。 </P><P> 另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。 </P>
页:
[1]