你的QQ中毒了吗?
上次在理工的新生群里碰到一个小白,中了QQ病毒,自动发送一些诱惑性名称的网址和可执行文件.他说用了杀毒软件也不行,那我说面对着么强悍的病毒,只好用传说中最直接,最经济,最环保,最牛B,最显人强的杀毒方法----手工查杀!由于不同的网址有不同的删除方法,所以文章是长了点,不懂的也可学习学习:1.http://dvd.qq92.com删除方法
用任务管理器结束smss.exe(一个是系统进程无法结束,一个是病毒可以结束),结束可能存在的intrenat.exe winsym.exe winpass.exe。
然后删除以下文件:
%WINDIR%\intrenat.exe
%WINDIR%\smss.exe
%System%\winsym.exe
%System%\winpass.exe
删除注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
2.http://www.joyiex.com删除方法
先结束Explorer.exe进程,然后再把Explorer.exe运行起来。
在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下Checkedvalue的值为1。
然后删除以下文件:
%Windows%\bak.exe
%System%\huangjiaju.exe(0字节)
%System%\cc1.exe
%System%\cc2.exe
%System%\cc3.exe
%System%\whboy.exe
%System%\whboy.txt
%System%\whboy***.txt(***为数字)
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
一直有变化的主要是%System%目录下xx1.exe、xx2.exe和xx3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决
3.http://www.mydj2005.com删除方法
在安全模式下删除:
%System%\down1.exe
%System%\down2.exe
%System%\huangjiaju.exe(0字节)
%System%\migpwda.exe
%System%\migpwdb.exe
%System%\migpwdc.exe(关联TXT)
删除病毒的启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windows update = %System%\migpwda.exe/
病毒把TXT文件关联修改为“%System%\migpwdc.exe %1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe(Windows 9x)
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。
病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改
删除方法
安全模式下删除%windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)
注:%System%文件夹默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
4.http://wwwnet/rm.asp?.rm删除方法
删除病毒对注册表所作的更改
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF6}.
然后重新启动删除以下文件:
%WINDIR%\services.exe
%system%\browscue.dll
%system%\member.exe
%System%\winsocks.dll
还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe
5.http://www.400.net删除方法
先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件:
%Windows%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。——重点是那个txt文件,必须先结束Explorer.exe才能够删除它。
6.http://www.joyiex.com删除方法
先用任务管理器结束Explorer.exe进程,接着删除以下文件(可以通过WinRAR的主程序删除文件):
%System%\msapi.exe
%System%\msapi.dll
此病毒已经禁用注册表编辑器,大家可以在网上搜索解锁办法或者使用注册表修复工具可以轻松解锁
其他的几个是武汉男生
安全模式下,先用任务管理器结束Explorer.exe进程,接着删除以下文件:
%Windir%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
!
7.http://www.QQ.5qt.net删除方法
在安全模式下删除:
%System%\logonuit.exe
%System%\mstinitt.exe(关联TXT文件)
%System%\windows.exe
删除病毒加在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下的启动项:windows update = %System%\logonuit.exe
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\windows.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\windows.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
还要恢复TXT关联。
8.http://photo..com/pic.asp?删除方法
到注册表编辑器里删除这些信息:
HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默认) = "winmem"
"services" = "%Windows%\services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"services" = "%Windows%\services.exe"\
重新启动计算机后删除以下文件:
%Windows%\services.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
%System%\bhjx.dll
%System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winco.exe
%System%\winco1.exe
%System%\winco2.exe
%System%\winmem.exe
%System%\WinSocks.dll
9.QQ自动发送一些诱惑性名称的可执行文件(图标是压缩文档的图标)
打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)
然后让Windows显示隐藏文件,找到以下文件并且将其删除:`
%System%\?.exe
%System%\notepad?.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
然后打开注册表编辑器删除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值
最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。
[此贴子已经被作者于2005-7-23 2:42:17编辑过]
<P>HOHO........................</P><P>发完闪人................</P><P>.</P> <P>up</P><P>someone want to see it</P> <DIV class=quote><B>以下是引用<I>writezy</I>在2005-7-22 14:44:21的发言:</B>
<P>up</P>
<P>someone want to see it</P></DIV>
还真被你说中了 <DIV class=quote><B>以下是引用<I>守株待兔</I>在2005-7-22 15:26:17的发言:</B>
<P>没看,我复制给别人了</P>
<P>我估计那人看的头都大了</P>
<P>连谢谢都忘了说</P></DIV>
我找了老半天的,你要付钱哦... <P>好说,好说.</P> 你是谁啊?介绍下那............. <DIV class=quote><B>以下是引用<I>守株待兔</I>在2005-7-22 15:28:52的发言:</B>
<P>好说,好说.</P></DIV>
偶是守株待兔
偶以前中过,可惜那时你还米发~~偶只好系统重装了~~ 噶好的帖,强烈要求置顶啊,不然浪费啊................. <DIV class=quote><B>以下是引用<I>writezy</I>在2005-7-23 2:47:45的发言:</B>
噶好的帖,强烈要求置顶啊,不然浪费啊.................</DIV>
快沉了,偶来水上 偶也水下~~ <DIV class=quote><B>以下是引用<I>writezyII</I>在2005-7-23 15:51:21的发言:</B>
</DIV>
这是楼主的马甲吗? 那马甲的名字也太明显了么~~ <DIV class=quote><B>以下是引用<I>桃子还西瓜</I>在2005-7-23 20:04:03的发言:</B>
那马甲的名字也太明显了么~~</DIV>
被你发现类,找打..............杀人灭口先
[此贴子已经被作者于2005-7-23 21:21:02编辑过]
打不起还躲不起吗 <DIV class=quote><B>以下是引用<I>亦涸</I>在2005-7-23 22:55:07的发言:</B>
打不起还躲不起吗</DIV>
9494