网络安全 频道

“QQ尾巴”病毒清除全过程

 最近出现不少QQ尾巴病毒,虽然种类不同,但是本质是一样的,下面我就其中的一种做一下清除介绍。该病毒主要是向正在聊天的QQ用户发送类似“给你看看一个美女的照片.exe,这个软件对你QQ挂级肯定有用.exe”的消息,收到消息的QQ用户如果点击打开此文件的话,就会中毒,然后继续向其它正在聊天的QQ好友发送类似信息。该病毒每隔几分钟就会发送一次病毒消息,严重干扰了用户正常的信息传递。该病毒运行时会将用户的注册表锁定,同时销定任务管理器等,并且会修改注册表进行自启动,病毒驻留内存时会隐藏在其它进程里面,即使通过任务管理器工具也很难找到它。

  首先我做了一个测试,打算中毒亲自体验一下杀毒详细过程,可惜我忘了关闭瑞星杀毒软件,我使用的是17.34.42版本。一接收立即杀掉,这说明这类病毒早已被杀。

没有办法,只好通过QQ的远程协助来进入朋友电脑查看原因,果然不出所料,注册表被锁,任务管理员被锁。哈哈,一看,我的朋友更厉害,电脑上好干净,杀毒软件没装,防火墙没有(可能使用XP防火墙吧),难怪他那么容易中毒了,好吧,我先帮他安装一个最新版的杀毒软件试一下,果然,一安装完就检测到有病毒,估计是他QQ开着的原因吧,马上就杀掉一个病毒,当时没有截图,具体名字不记得了。好吧,我们继续把其它的工作干完。

先恢复注册表吧,解锁注册表有好几类方法,一类就是写一个注册表文件导入进去解锁,文件内容大至如下(将以下代码复制到记事本,然后保存为REG文件,运行即可):


REGEDIT

[HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\policies]
"disableregistrytools"=dword:0

第一行也可以是“Windows Registry Editor Version 5.00”,这样只有windows200/xp环境下才能用,另外,dword必须小写

但是搞一下没有成功,没办法,我突然想起有另一种方法可以实现,使用用户策略来实现,估计很少有人使用这个吧^_^,看我操作,方法如下:

在Windows 2000/XP/2003中,我们可以通过单击“开始→运行”,输入“Gpedit.msc”后回车,打开“组策略”。然后依次展开“用户配置→管理模板→系统”,双击右侧窗口中的“阻止访问注册表编辑工具”,在弹出的窗口中选择“已禁用”,“确定”后再退出“组策略”,即可为注册表解锁。

好了,下面我们该恢复任务管理器了,本来在注册表中也可以修改的,可是找来找去找不到那个键值,大家可以试一下,具体方法为将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DisableTaskmgr的值改为00000000即可

  可是我搞来搞去不成功,没办法,拿出我的绝门武器,策略吧。。。。
  在组策略中可以解决,方法,,开始-》运行中输入:gpedit.msc后回车。然后找到:管理模版-》系统-》登录\\注销中的禁用任务管理器一项,双击后选择已停用即可。

  好了,到这儿我们算是把这个东东清理掉了,总之希望大家在上网聊天的时候一定要小心,不要被一些文字所迷惑,然后胡乱就中毒了自己还不知道,并且秧及鱼池。
0
相关文章