流行的QQ尾巴与盗号木马手工查杀方法-网络安全专区

流行的QQ尾巴与盗号木马手工查杀方法

作者：佚名编辑：安全专题1 2007-07-01 00:00

8.http://www.joyiex.com删除方法
先用任务管理器结束Explorer.exe进程，接着删除以下文件（可以通过WinRAR的主程序删除文件）：
%System%\msapi.exe
%System%\msapi.dll
此病毒已经禁用注册表编辑器，大家可以在网上搜索解锁办法或者使用注册表修复工具可以轻松解锁。

其他的几个是武汉男生2005：
安全模式下，先用任务管理器结束Explorer.exe进程，接着删除以下文件：
%Windir%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt（***为数字）]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe（Windows 9x/Me）；
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”，编辑右边“Shell”的内容，将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”（Windows NT/2000/XP/2003）。

9.http://www.QQ.5qt.net删除方法
在安全模式下删除：
%System%\logonuit.exe
%System%\mstinitt.exe（关联TXT文件）
%System%\windows.exe
http://bbs.13ip.com

删除病毒加在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下的启动项：windows update = %System%\logonuit.exe
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\windows.exe为Shell = Explorer.exe（Windows 9x）；
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”，编辑右边“Shell”的内容，将“Explorer.exe %System%\windows.exe”修改为“Explorer.exe”（Windows NT/2000/XP/2003）。
还要恢复TXT关联。

10.http://photo.rm510.com/pic.asp?删除方法
到注册表编辑器里删除这些信息：
HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}

[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}

HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
bbs.13ip.com

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默认) = "winmem"
"services" = "%Windows%\services.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"services" = "%Windows%\services.exe"

重新启动计算机后删除以下文件：
%Windows%\services.exe
%Windows%\MlcrosoftSound.wav（MlcrosoftSound.wav的第二个字母是L）
%System%\bhjx.dll
%System%\lnterapi32.dll（lnterapi32.dll的第一个字母是L）
%System%\lnterapi64.dll（lnterapi32.dll的第一个字母是L）
%System%\SVCH0ST.EXE（SVCH0ST.EXE中的0是数字0，不是字母O）
%System%\winco.exe
%System%\winco1.exe
%System%\winco2.exe
%System%\winmem.exe
%System%\WinSocks.dll

11.QQ自动发送一些诱惑性名称的可执行文件（图标是压缩文档的图标）
打开任务管理器，结束掉RUNDLL32.EXE和TIMP1atform.exe（注意那是数字1）。
然后让Windows显示隐藏文件，找到以下文件并且将其删除：
%System%\.exe
%System%\notepad.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe（注意是数字1不是字母l，别删错了）翼闪QQ空间站
然后打开注册表编辑器删除：
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值。
最后通过注册表修复工具修复EXE和TXT文件关联，重新启动即可。

12.武汉男生变种
症状:
通过发送以下信息诱惑用户点击
http://www.4OO.net 帮忙看看这个网站打不打的开。上次看了个网站不错，去看看吧-- http://www.4OO.net
刚刚在这个网站下载了个免费的QQ秀 http://www.QQ.5qt.net,
你看好看吗？我现在有好多Q币了！！！你要不要？要的话赶快去
http://vip.6to23.com/sedvd/FreeQB.htm 免费申请！迟了就没啦！！快~这个网站送QQ币了，http://vip.6to23.com/sedvd/FreeQB.htm 一个QQ号可以申请28个QQ秀的衣服好像这个网站的电影不错~~ http://178dx.com/vod/
这个视频聊天室人真多，http://r123.net/liao.htm 我们也去这个聊天室群体视频聊天好不好这个网站送QQ币了，http://vip.6to23.com/sedvd/FreeQB.htm 一个号码最多可以申请28个QQ币 http://4OO.net/lj/lj.exe/2EoX2S 翼闪
清除:
删除这个启动项：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
QQServer = %WINDOWS%\QQ.exe

在安全模式下删除以下文件：
%WINDOWS%\QQ.exe

13.http://www.3721see.com/myfriend/index.htm：删除方法
在安全模式下删除：
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL
%System%\SP00LSV.EXE
%System%\system32.exe

并删除它们的启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
slime = %System%\slime.exe
appService = %System%\Service.exe
system32 = %System%\system32.exe
slService = %System%\slserve.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
ScanRegedit = %System%\SP00LSV.EXE

第1页：流行的QQ尾巴与盗号木马手工查杀方法第2页：流行的QQ尾巴与盗号木马手工查杀方法第3页：流行的QQ尾巴与盗号木马手工查杀方法

关注我们