QQ病毒查杀完全手册
QQ病毒查杀完全手册
“QQ尾巴”查杀 “QQ尾巴”是利用Windows系统下Internet E_plorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看,里面有蛮好的东西”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。
“QQ尾巴”会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
QQ收到信息如下:
1. HoHo~~ http://www.mm_.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv__com/
3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33_.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
4. http//www.hao__com 帮忙看看这个网站打不打的开。
5. http://ni__126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样? 1。利用WINDOWS“查找”功能
用户从开始菜单中选择“查找→文件或文件夹”并打开系统“查找”对话框:步骤一:切换到“名称与位置”选项卡,在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字,如一段网址或“一个很不错的网站”等,将“搜索”范围指定到C:\WINDOWS\并选中“包含子文件夹”选项。步骤二:切换到“日期”选项卡,选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”,在“介于×年×月×日和×年×月×日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期,当然也可以是浏览过QQ信息中虚假网址的当天。步骤三:进行完上述所有设置后,单击“查找”,Windows查找工具会分别在C:\WINDOWS\文件夹中找到一个名为Sendmess的应用程序和C:\WINDOWS\TEMP\文件夹中找到一个名为Younv的应用程序,用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。
2.安装系统漏洞补丁
由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
“武汉男生”木马病毒
该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后,用户一旦运行了QQ,病毒就会不断搜寻当前已经打开的QQ"发送消息"窗口,并在找到"发送消息"窗口后,自动发送一条消息到其他用户那里,"我的相片..看看..(某网站网址)",一旦收到此消息的得用户点击了该网站的链接,就遭受了病毒的感染。
病毒运行后在系统目录下生成三个病毒文件,分别为ABCHELP.E_E,WINhelp32.e_e和Direct_.e_e,其中后2个文件的属性是隐含的。(系统目录在Windows 9_/Me下为C:WindowsSystem,在Windows NT/2000下为 C:WINNTSystem32,在Windows _P下为 C:WindowsSystem32) 病毒修改注册表,使病毒能随系统启动而自动运行。 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.e_e" 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.e_e" 广大用户应及时升级杀毒软件,启动"实时监控"系统,在使用OICQ聊天时也要留意,不要轻易打开任何链接,以免遭受病毒的感染。
清除病毒的相关操作
1、删除病毒在系统目录下释放的病毒文件
2、删除病毒在注册表下生成的键值
3、运行杀毒软件,对病毒进行全面清除
防范病毒使用杀毒软件有五大禁忌
(一)忌偷懒不升级
(二)忌忽略对邮件的保护
(三)忌疏忽设置各项功能
(四)忌轻信网络的安全性
(五)忌轻视数据备份
QQ“缘”病毒
病毒特征:
该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW._115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
清除方法:
使用了下面的办法将其彻底删除。
找到下列文件: C:\windows\system\noteped.e_e C:\windows\system\Taskmgr.e_e C:\Windows\noteped.e_e C:\Windwos\system32\noteped.e_e 删除掉:其中Taskmgr.e_e 要先打开"window 任务管理器",选中进程"Taskmgr.e_e",杀掉注意:有两个名字叫"Taskmgr.e_e"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"找到"Taskmgr" 删除 如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: 1.在任务栏上点击鼠标右键,选择任务管理器
2.选择进程里的Taskmgr.e_e,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。
3.点击开始-运行,输入Regedit进入注册表
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。 删除后重启计算机,《缘》QQ病毒宣布彻底删除。
另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。
“爱情森林”病毒
病毒特征:
该木马程序原始文件名为hack.e_e,用Delphi编写,进行了压缩。木马程序被运行后会:
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为E_plorer.e_e。由于它和Windows目录下的E_plorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值E_plorer="%windowssystem%E_plorer.e_e",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.e_e,并执行下载下来的程序,进行其它的破坏活动。
清除方法
(1)先打开任务管理器,结束掉位于下面的那个E_plorer进程,然后删除系统目录下的木马程序E_plorer.e_e。或者重新启动到DOS下到system目录直接删除该木马程序。
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为E_plorer的键值。 变种第一病毒特征:
该病毒运行后会:
1、复制两个自己的拷贝到Windows的系统目录(Win9_通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.e_e和sysedit32.e_e。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.e_e",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
3、修改注册表,修改HKEY_CLASSES_ROOTt_tfileshellopencommand的默认键值为%windowssystem%sysedit32.e_e,关联记事本,使用户打开t_t文件时木马程序能获得运行机会。
4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.t_t”。