QQ病毒的系列處理辦法(轉)

QQ病毒的系列處理辦法(轉)[@more@]病毒名稱："武漢男生"（Troj_WHBoy）
　　病毒種類：木馬
　　感染系統：Windows 95/98/Me/NT/2000/XP
　　病毒特性：
　　該病毒透過聊天軟體Oicq進行傳播。當計算機被該病毒感染後，使用者一旦執行了QQ，病毒就會不斷搜尋當前已經開啟的QQ"傳送訊息"視窗，並在找到"傳送訊息"視窗後，自動傳送一條訊息到其他使用者那裡，"我的相片..看看..（某網站網址）"，一旦收到此訊息的得使用者點選了該網站的連結，就遭受了病毒的感染。
　　病毒執行後在系統目錄下生成三個病毒檔案，分別為ABCHELP.EXE，WINhelp32.exe和DirectX.exe，其中後2個檔案的屬性是隱含的。（系統目錄在Windows 9x/Me下為C:WindowsSystem，在Windows NT/2000下為 C:WINNTSystem32，在Windows XP下為 C:WindowsSystem32）

　　病毒修改登錄檔，使病毒能隨系統啟動而自動執行。

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe"

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成（default）= "abchelp.exe"

　　廣大使用者應及時升級防毒軟體，啟動"實時監控"系統，在使用OICQ聊天時也要留意，不要輕易開啟任何連結，以免遭受病毒的感染。




　　清除病毒的相關操作

　　1、刪除病毒在系統目錄下釋放的病毒檔案
　　2、刪除病毒在登錄檔下生成的鍵值
　　3、執行防毒軟體，對病毒進行全面清除


"QQ狩獵者"最新變種清除方法
解決方案:
　　
　　1、工具清除
　　
　　請升級金山毒霸的病毒庫到11月4日版本，即可完全處理該病毒；
　　利用專殺工具(Duba_qqmsg.exe)防毒:
　　
　　2、手工清除
　　
　　A、關閉Windows Me、Windows XP、Windows 2003的“系統還原”功能；
　　
　　B、重新啟動到安全模式下；
　　
　　C、先將regedit.exe改名為regedit.com，再用資源管理器結束cmd.exe程式，然後執行regedit.com，將EXE關聯修改為""%1" %*"，再刪除以下檔案:C:cmd.exe、%Windows%Download Program Files.exe。對於Win9x系統，還要刪除%SystemRoot%Rundll32.exe，再到共享目錄中看有沒有"病毒專殺.exe"和"周杰倫演唱會.exe"這兩個檔案，檔案大小為11184位元組，如果有，將其刪除。
　　
　　D、清理登錄檔:
　　
　　開啟登錄檔，刪除主鍵 HKEY_CLASSES_ROOTsysfileshellopen、HKEY_CLASSES_ROOT mpfileshellopen 修改 HKEY_CLASSES_ROOTexefileshellopencommand 的鍵值為 "%1" %*
　　
　　防範措施：
　　
　　不要輕易點選QQ上的不明連結,不要安裝來歷不明的外掛(如該病毒網站上所謂的"動畫播放外掛2.0")。

專家提醒：
　　
　　1、請及時升級您的毒霸到最新。因為病毒隨時在產生，金山毒霸的病毒庫也會隨時升級中，請多關注金山毒霸安全諮詢網（duba.net )上的最新病毒公告，或者訂閱金山毒霸的“病毒簡訊”，為您提供最新最快的病毒資訊和毒霸的升級資訊；
　　
　　2、開啟網路和病毒防火牆，為您的系統打上微軟的最新補丁。殺病毒不如防病毒，只要防止住病毒進入的通道，就可徹底免除病毒帶來的危害；
　　
　　3、不隨意開啟陌生人的郵件。當今的病毒不再只是透過計算機來傳播，病毒製作者會利用人們好奇的心理來騙取自己啟用的機會，如前段時間的“911”蠕蟲病毒，就是利用人們對“911”事件的關注心態，來騙取使用者開啟郵件，從而使用病毒獲得啟用進會。大量的木馬和駭客程式都會以這種方式來獲得執行權；
　　
　　4、掌握一些相關的系統操作知識，這樣可以方便、及時的發現新病毒。



"QQ女友"病毒警報

　一、病毒評估

　　1．病毒中文名：QQ女友
　　2．病毒英文名：Worm.LovGate.v.QQ
　　3．病毒大小：53,248 位元組
　　4．病毒型別：蠕蟲病毒
　　5．病毒危險等級：★★★★
　　6．病毒傳播途徑：網路
　　7．病毒依賴系統：WINDOWS9X/NT/2000/XP

　　二、病毒的破壞

　　利用QQ傳送誘惑資訊，導致使用者上當。病毒傳送一些誘惑新的文字和連結給線上的好友，致使不明真相的使用者上當。

　　三、病毒報告

　　1.複製自己到系統目錄：
　　%SYSDIR%internet.exe
　　%SYSDIR%svch0st.exe
　　
　　2.修改如下注冊表鍵值：
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
　　"Network Associates, Inc." = "INTERNET.EXE"

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
　　"S0undMan" = "%SYSDIR%SVCH0ST.EXE"

　　3.病毒執行後將建立一個HTTP伺服器，監聽TCP埠20808
　　
　　該功能將響應遠端的下載請求，將本地的病毒檔案複製到遠端機器。


4.病毒搜尋QQ聊天軟體，向線上的好友傳送誘惑資訊，內容如下：
　　“你是那樣地美，美得象一首抒情詩。你全身充溢著少女的純情和青春的風采。
　　 留給我印象最深的是你那雙湖水般清澈的眸子，以及長長的、一閃一閃的睫毛。
　　 像是探詢，像是關切，像是問候。
　　 這是你需要的東西:

　　 下載地址1
　　 http://*.*.*.*：:20808//%DRIVE%c:filename.exe
　　 下載地址2
　　 http://*.*.*.*：:20808//%DRIVE%c:filename.exe”
　　上面的內容頭部也可能為下列之一：
　　其實，我最先認識你是在照片上。照片上的你托腮凝眸，若有所思。那份溫柔、那份美感、那份嫵媚，使我久久難以忘懷

　　遠遠地，我目送你的背影，你那用一束大紅色綢帶紮在腦後的黑髮，宛如幽靜的月夜裡從山澗中傾瀉下來的一壁瀑布。

　　你蹦蹦跳跳地走進來，一件紅尼大衣，緊束著腰帶，顯得那麼輕盈，那麼矯健，簡直就像天邊飄來一朵紅雲。

　　你笑起來的樣子最為動人，兩片薄薄的嘴唇在笑，長長的眼睛在笑

　　春花秋月，是詩人們歌頌的情景，可是我對於它，卻感到十分平凡。只有你嵌著梨渦的笑容，才是我眼中最美的偶象。

　　你其有點像天上的月亮，也像那閃爍的星星，可惜我不是詩人，否則，當寫一萬首詩來形容你的美麗。

　　你是一尊象牙雕刻的女神，大方、端莊、溫柔、姻靜，無一不使男人深深崇拜。

　　在風吹乾你的散發時，我簡直著魔了：在閃閃發光的披肩柔發中，在淡淡入鬢的蛾眉問，在碧水漓漓的眼睛裡……你竟是如此美麗可人！

　　你是花叢中的蝴蝶，是百合花中的蓓蕾。無論什麼衣服穿到你的身上，總是那麼端莊、好看。

　　你那瓜子形的形（編者注：該字疑為病毒作者筆誤），那麼白淨，彎彎的一雙眉毛，那麼修長；水汪汪的一對眼睛，那麼明亮！

　　其中*.*.*.*為本機地址，%filename%為下列之一：


"c:setup.exe"
　　"c:hello.exe"
　　"c:flash.com"
　　"c:123456.exe"
　　"c:pass.exe"
　　"c:game.exe"
　　"c:my_photo.exe"
　　"c:update.exe"
　　"c:mp3.exe"
　　"c:666666.exe"
　　這些都是病毒本身。
　　
　　5.鑑於該病毒的特殊性，尤其是女性的使用QQ的使用者，請看到上述資訊時請不要上當。

　　四、清除方法

　　（1）開啟工作管理員檢視是否存在程式名為: INTERNET.EXE或SVCH0ST.EXE,終止它

　　（2）開啟登錄檔編輯器,刪除如下鍵值:
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
　　"Network Associates, Inc." = "INTERNET.EXE"

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
　　"S0undMan" = "%SYSDIR%SVCH0ST.EXE"

　　（3）將%WINSYS%目錄下的檔案: SVCH0ST.EXE和SVCH0ST.EXE刪除

　　注:%WINSYS%位Windows系統的安裝目錄，在win9x,winme,winxp下預設為:C:WINDOWSSYSTEM,win2k下預設為:C:WINNTSYSTEM32。

　　也可以下載愛情後門專殺工具：

愛情森林的清除：
??
??(1)先開啟工作管理員，結束掉位於下面的那個Explorer程式，然後刪除系統目錄下的木馬程式Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程式。

??(2)開啟登錄檔編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
??
??2、變種一的清除：
??
??(1)開啟工作管理員，結束掉RUNDLL和SYSEDIT32程式。

??(2)刪除系統資料夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的檔案（檔案大小為1781752位元組）。

??(3)開啟登錄檔編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的預設鍵值為Notepad %1。(其中%windowssystem%為Windows的系統資料夾)

??(4)若根目錄下存在檔案setup.txt或mima.txt,將其刪除。

3、變種二的清除：
??
??(1)開啟工作管理員，結束掉位於下面的那個Explorer程式，然後刪除系統目錄下的木馬程式Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程式。

??(2)開啟登錄檔編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
??
??4、變種三的清除：
??
??(1)開啟工作管理員，結束掉RUNDLL和SYSEDIT32程式。

??(2)刪除系統資料夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的檔案（檔案大小為1781752位元組）。

??(3)開啟登錄檔編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem% undll.exe"的鍵值。恢復HKEY_CLASSES_ROOT xtfileshellopencommand的預設鍵值為Notepad %1。(其中%windowssystem%為Windows的系統資料夾)

??(4)恢復IE的設定。開啟登錄檔編輯器，恢復HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainStart Page，HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL，HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainLocal Page的設定為原來的內容。
??
??5、變種四的清除：

??(1)先開啟工作管理員，結束掉位於下面的那個Explorer程式，然後刪除系統目錄下的木馬程式Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程式。

??(2)開啟登錄檔編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值
相關頁面：
... 07&highlight=qq
相關防毒軟體下載地址：
QQ訊息傳送機病毒專殺工具

金山專殺工具的下載

SCKISS愛情森林專殺,可以完全查殺全部5個變種

“狩獵者”專殺工具

關於愛情森林病毒QQ病毒更多的文章……。