网络安全 频道

流行的QQ尾巴与盗号木马手工查杀方法

流行的QQ尾巴与盗号木马手工查杀方法(随时增加)
1.http://www.18hi.com删除方法
在安全模式下删除以下文件:
%Windows%\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\taskmgr.exe(金山影霸RM图标)
%Windows%\System\win.dll
%Windows%\System\windll.dll
%Windows%\System32\N0tepad.exe(关联TXT文件,金山影霸RM图标)
注意:N0tepad.exe中的0是数字0,不是字母O。

去掉病毒的启动项信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"="%Windows%\System\taskmgr.exe"

最后还要恢复TXT文件关联。

2.http://dvd.qq92.com删除方法

用任务管理器结束smss.exe(一个是系统进程无法结束,一个是病毒可以结束),结束可能存在的intrenat.exe winsym.exe winpass.exe。
然后删除以下文件:
%WINDIR%\intrenat.exe
%WINDIR%\smss.exe
%System%\winsym.exe
%System%\winpass.exe
删除注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe

www.13ip.com

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe

3.http://www.joyiex.com删除方法
先结束Explorer.exe进程,然后再把Explorer.exe运行起来。

在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为1。

然后删除以下文件:
%Windows%\bak.exe
%System%\huangjiaju.exe(0字节)
%System%\cc1.exe
%System%\cc2.exe
%System%\cc3.exe
%System%\whboy.exe
%System%\whboy.txt
%System%\whboy***.txt(***为数字)

编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。 翼闪综合信息网
一直有变化的主要是%System%目录下xx1.exe、xx2.exe和xx3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决。

4.http://www.mydj2005.com删除方法
在安全模式下删除:
%System%\down1.exe
%System%\down2.exe
%System%\huangjiaju.exe(0字节)
%System%\migpwda.exe
%System%\migpwdb.exe
%System%\migpwdc.exe(关联TXT)

删除病毒的启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windows update = %System%\migpwda.exe

病毒把TXT文件关联修改为“%System%\migpwdc.exe %1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。

编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。


5.QQ速配
蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。 翼闪综合信息网

病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改。

删除方法
安全模式下删除%windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)

注:%System%文件夹默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).

6.http://www.91tg.net/rm.asp?.rm删除方法
删除病毒对注册表所作的更改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF6} www.13ip.com/dede31/
然后重新启动删除以下文件:
%WINDIR%\services.exe
%system%\browscue.dll
%system%\member.exe
%System%\winsocks.dll
还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe

7.http://www.400.net删除方法
先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件:
%Windows%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。——重点是那个txt文件,必须先结束Explorer.exe才能够删除它。

0
相关文章