QQ病毒的系列處理辦法(轉)

BSDLite發表於2007-08-12
QQ病毒的系列處理辦法(轉)[@more@]病毒名稱:"武漢男生"(Troj_WHBoy)
  病毒種類:木馬
  感染系統:Windows 95/98/Me/NT/2000/XP
  病毒特性:
  該病毒透過聊天軟體Oicq進行傳播。當計算機被該病毒感染後,使用者一旦執行了QQ,病毒就會不斷搜尋當前已經開啟的QQ"傳送訊息"視窗,並在找到"傳送訊息"視窗後,自動傳送一條訊息到其他使用者那裡,"我的相片..看看..(某網站網址)",一旦收到此訊息的得使用者點選了該網站的連結,就遭受了病毒的感染。
  病毒執行後在系統目錄下生成三個病毒檔案,分別為ABCHELP.EXE,WINhelp32.exe和DirectX.exe,其中後2個檔案的屬性是隱含的。(系統目錄在Windows 9x/Me下為C:WindowsSystem,在Windows NT/2000下為 C:WINNTSystem32,在Windows XP下為 C:WindowsSystem32)

  病毒修改登錄檔,使病毒能隨系統啟動而自動執行。

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe"

  在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.exe"

  廣大使用者應及時升級防毒軟體,啟動"實時監控"系統,在使用OICQ聊天時也要留意,不要輕易開啟任何連結,以免遭受病毒的感染。




  清除病毒的相關操作

  1、刪除病毒在系統目錄下釋放的病毒檔案
  2、刪除病毒在登錄檔下生成的鍵值
  3、執行防毒軟體,對病毒進行全面清除


"QQ狩獵者"最新變種清除方法
解決方案:
  
  1、工具清除
  
  請升級金山毒霸的病毒庫到11月4日版本,即可完全處理該病毒;
  利用專殺工具(Duba_qqmsg.exe)防毒:
  
  2、手工清除
  
  A、關閉Windows Me、Windows XP、Windows 2003的“系統還原”功能;
  
  B、重新啟動到安全模式下;
  
  C、先將regedit.exe改名為regedit.com,再用資源管理器結束cmd.exe程式,然後執行regedit.com,將EXE關聯修改為""%1" %*",再刪除以下檔案:C:cmd.exe、%Windows%Download Program Files.exe。對於Win9x系統,還要刪除%SystemRoot%Rundll32.exe,再到共享目錄中看有沒有"病毒專殺.exe"和"周杰倫演唱會.exe"這兩個檔案,檔案大小為11184位元組,如果有,將其刪除。
  
  D、清理登錄檔:
  
  開啟登錄檔,刪除主鍵 HKEY_CLASSES_ROOTsysfileshellopen、HKEY_CLASSES_ROOT mpfileshellopen 修改 HKEY_CLASSES_ROOTexefileshellopencommand 的鍵值為 "%1" %*
  
  防範措施:
  
  不要輕易點選QQ上的不明連結,不要安裝來歷不明的外掛(如該病毒網站上所謂的"動畫播放外掛2.0")。

專家提醒:
  
  1、請及時升級您的毒霸到最新。因為病毒隨時在產生,金山毒霸的病毒庫也會隨時升級中,請多關注金山毒霸安全諮詢網(duba.net )上的最新病毒公告,或者訂閱金山毒霸的“病毒簡訊”,為您提供最新最快的病毒資訊和毒霸的升級資訊;
  
  2、開啟網路和病毒防火牆,為您的系統打上微軟的最新補丁。殺病毒不如防病毒,只要防止住病毒進入的通道,就可徹底免除病毒帶來的危害;
  
  3、不隨意開啟陌生人的郵件。當今的病毒不再只是透過計算機來傳播,病毒製作者會利用人們好奇的心理來騙取自己啟用的機會,如前段時間的“911”蠕蟲病毒,就是利用人們對“911”事件的關注心態,來騙取使用者開啟郵件,從而使用病毒獲得啟用進會。大量的木馬和駭客程式都會以這種方式來獲得執行權;
  
  4、掌握一些相關的系統操作知識,這樣可以方便、及時的發現新病毒。



"QQ女友"病毒警報

 一、病毒評估

  1.病毒中文名:QQ女友
  2.病毒英文名:Worm.LovGate.v.QQ
  3.病毒大小:53,248 位元組
  4.病毒型別:蠕蟲病毒
  5.病毒危險等級:★★★★
  6.病毒傳播途徑:網路
  7.病毒依賴系統:WINDOWS9X/NT/2000/XP

  二、病毒的破壞

  利用QQ傳送誘惑資訊,導致使用者上當。病毒傳送一些誘惑新的文字和連結給線上的好友,致使不明真相的使用者上當。

  三、病毒報告

  1.複製自己到系統目錄:
  %SYSDIR%internet.exe
  %SYSDIR%svch0st.exe
  
  2.修改如下注冊表鍵值:
  
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
  "Network Associates, Inc." = "INTERNET.EXE"

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
  "S0undMan" = "%SYSDIR%SVCH0ST.EXE"

  3.病毒執行後將建立一個HTTP伺服器,監聽TCP埠20808
  
  該功能將響應遠端的下載請求,將本地的病毒檔案複製到遠端機器。


4.病毒搜尋QQ聊天軟體,向線上的好友傳送誘惑資訊,內容如下:
  “你是那樣地美,美得象一首抒情詩。你全身充溢著少女的純情和青春的風采。
   留給我印象最深的是你那雙湖水般清澈的眸子,以及長長的、一閃一閃的睫毛。
   像是探詢,像是關切,像是問候。
   這是你需要的東西:

   下載地址1
   http://*.*.*.*::20808//%DRIVE%c:filename.exe
   下載地址2
   http://*.*.*.*::20808//%DRIVE%c:filename.exe”
  上面的內容頭部也可能為下列之一:
  其實,我最先認識你是在照片上。照片上的你托腮凝眸,若有所思。那份溫柔、那份美感、那份嫵媚,使我久久難以忘懷

  遠遠地,我目送你的背影,你那用一束大紅色綢帶紮在腦後的黑髮,宛如幽靜的月夜裡從山澗中傾瀉下來的一壁瀑布。

  你蹦蹦跳跳地走進來,一件紅尼大衣,緊束著腰帶,顯得那麼輕盈,那麼矯健,簡直就像天邊飄來一朵紅雲。

  你笑起來的樣子最為動人,兩片薄薄的嘴唇在笑,長長的眼睛在笑

  春花秋月,是詩人們歌頌的情景,可是我對於它,卻感到十分平凡。只有你嵌著梨渦的笑容,才是我眼中最美的偶象。

  你其有點像天上的月亮,也像那閃爍的星星,可惜我不是詩人,否則,當寫一萬首詩來形容你的美麗。

  你是一尊象牙雕刻的女神,大方、端莊、溫柔、姻靜,無一不使男人深深崇拜。

  在風吹乾你的散發時,我簡直著魔了:在閃閃發光的披肩柔發中,在淡淡入鬢的蛾眉問,在碧水漓漓的眼睛裡……你竟是如此美麗可人!

  你是花叢中的蝴蝶,是百合花中的蓓蕾。無論什麼衣服穿到你的身上,總是那麼端莊、好看。

  你那瓜子形的形(編者注:該字疑為病毒作者筆誤),那麼白淨,彎彎的一雙眉毛,那麼修長;水汪汪的一對眼睛,那麼明亮!

  其中*.*.*.*為本機地址,%filename%為下列之一:


"c:setup.exe"
  "c:hello.exe"
  "c:flash.com"
  "c:123456.exe"
  "c:pass.exe"
  "c:game.exe"
  "c:my_photo.exe"
  "c:update.exe"
  "c:mp3.exe"
  "c:666666.exe"
  這些都是病毒本身。
  
  5.鑑於該病毒的特殊性,尤其是女性的使用QQ的使用者,請看到上述資訊時請不要上當。

  四、清除方法

  (1)開啟工作管理員檢視是否存在程式名為: INTERNET.EXE或SVCH0ST.EXE,終止它

  (2)開啟登錄檔編輯器,刪除如下鍵值:
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
  "Network Associates, Inc." = "INTERNET.EXE"

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
  "S0undMan" = "%SYSDIR%SVCH0ST.EXE"

  (3)將%WINSYS%目錄下的檔案: SVCH0ST.EXE和SVCH0ST.EXE刪除

  注:%WINSYS%位Windows系統的安裝目錄,在win9x,winme,winxp下預設為:C:WINDOWSSYSTEM,win2k下預設為:C:WINNTSYSTEM32。

  也可以下載愛情後門專殺工具:

愛情森林的清除:
??
??(1)先開啟工作管理員,結束掉位於下面的那個Explorer程式,然後刪除系統目錄下的木馬程式Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程式。

??(2)開啟登錄檔編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
??
??2、變種一的清除:
??
??(1)開啟工作管理員,結束掉RUNDLL和SYSEDIT32程式。

??(2)刪除系統資料夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的檔案(檔案大小為1781752位元組)。

??(3)開啟登錄檔編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的預設鍵值為Notepad %1。(其中%windowssystem%為Windows的系統資料夾)

??(4)若根目錄下存在檔案setup.txt或mima.txt,將其刪除。

3、變種二的清除:
??
??(1)開啟工作管理員,結束掉位於下面的那個Explorer程式,然後刪除系統目錄下的木馬程式Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程式。

??(2)開啟登錄檔編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
??
??4、變種三的清除:
??
??(1)開啟工作管理員,結束掉RUNDLL和SYSEDIT32程式。

??(2)刪除系統資料夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的檔案(檔案大小為1781752位元組)。

??(3)開啟登錄檔編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem% undll.exe"的鍵值。恢復HKEY_CLASSES_ROOT xtfileshellopencommand的預設鍵值為Notepad %1。(其中%windowssystem%為Windows的系統資料夾)

??(4)恢復IE的設定。開啟登錄檔編輯器,恢復HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainStart Page,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainLocal Page的設定為原來的內容。
??
??5、變種四的清除:

??(1)先開啟工作管理員,結束掉位於下面的那個Explorer程式,然後刪除系統目錄下的木馬程式Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程式。

??(2)開啟登錄檔編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值
相關頁面:
... 07&highlight=qq
相關防毒軟體下載地址:
QQ訊息傳送機病毒專殺工具

金山專殺工具的下載

SCKISS愛情森林專殺,可以完全查殺全部5個變種

“狩獵者”專殺工具

關於愛情森林病毒QQ病毒更多的文章……。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-949332/,如需轉載,請註明出處,否則將追究法律責任。

相關文章