QQ病毒查殺完全手冊
QQ病毒查殺完全手冊
“QQ尾巴”查殺 “QQ尾巴”是利用Windows系統下Internet E_plorer的iFrame系統漏洞自動運行的一種惡意木馬程序。該木馬病毒會偷偷潛藏在用戶的系統中,發作時會尋找QQ窗口并給在線QQ好友發送諸如“有我的照片”、“這是一個很不錯的網站”或“快去這看看,里面有蠻好的東西”之類的假消息,誘惑用戶點擊一個網站,如果有人信以為真點擊該鏈接的話,就會被病毒感染,然后成為毒源,繼續傳播。
“QQ尾巴”會自動在發送的消息末尾插入一段廣告詞,通常都是以下幾句中的一種。
QQ收到信息如下:
1. HoHo~~ http://www.mm_.com剛才朋友給我發來的這個東東。你不看看就后悔哦,嘿嘿。也給你的朋友吧。
2. 呵呵,其實我覺得這個網站真的不錯,你看看http://www.ktv__com/
3. 想不想來點搖滾粗口舞曲,中華 DJ 第一站,網址告訴你http://www.qq33_.com.。不要告訴別人 ~ 哈哈,真正算得上是國內最棒的 DJ 站點。
4. http//www.hao__com 幫忙看看這個網站打不打的開。
5. http://ni__126.com 看看啊. 我最近照的照片~ 才掃描到網上的。看看我是不是變了樣? 1。利用WINDOWS“查找”功能
用戶從開始菜單中選擇“查找→文件或文件夾”并打開系統“查找”對話框:步驟一:切換到“名稱與位置”選項卡,在“名稱”和“包含文字”框中輸入QQ那段“虛假消息”的文字,如一段網址或“一個很不錯的網站”等,將“搜索”范圍指定到C:\WINDOWS\并選中“包含子文件夾”選項。步驟二:切換到“日期”選項卡,選中“查找所有文件”選項并在其右側下拉菜單列表中選擇“創建時間”,在“介于×年×月×日和×年×月×日”選項中選擇發現QQ發生異常的上一個可以正常聊天的日期,當然也可以是瀏覽過QQ信息中虛假網址的當天。步驟三:進行完上述所有設置后,單擊“查找”,Windows查找工具會分別在C:\WINDOWS\文件夾中找到一個名為Sendmess的應用程序和C:\WINDOWS\TEMP\文件夾中找到一個名為Younv的應用程序,用戶在安全模式下將它們進行清除一下即可完成“QQ尾巴”木馬病毒的查殺。
2.安裝系統漏洞補丁
由病毒的播方式我們知道,“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的,即使不執行病毒文件,病毒依然可以借由漏洞自動執行,達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。
“武漢男生”木馬病毒
該病毒通過聊天軟件Oicq進行傳播。當計算機被該病毒感染后,用戶一旦運行了QQ,病毒就會不斷搜尋當前已經打開的QQ"發送消息"窗口,并在找到"發送消息"窗口后,自動發送一條消息到其他用戶那里,"我的相片..看看..(某網站網址)",一旦收到此消息的得用戶點擊了該網站的鏈接,就遭受了病毒的感染。
病毒運行后在系統目錄下生成三個病毒文件,分別為ABCHELP.E_E,WINhelp32.e_e和Direct_.e_e,其中后2個文件的屬性是隱含的。(系統目錄在Windows 9_/Me下為C:WindowsSystem,在Windows NT/2000下為 C:WINNTSystem32,在Windows _P下為 C:WindowsSystem32) 病毒修改注冊表,使病毒能隨系統啟動而自動運行。 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.e_e" 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.e_e" 廣大用戶應及時升級殺毒軟件,啟動"實時監控"系統,在使用OICQ聊天時也要留意,不要輕易打開任何鏈接,以免遭受病毒的感染。
清除病毒的相關操作
1、刪除病毒在系統目錄下釋放的病毒文件
2、刪除病毒在注冊表下生成的鍵值
3、運行殺毒軟件,對病毒進行全面清除
防范病毒使用殺毒軟件有五大禁忌
(一)忌偷懶不升級
(二)忌忽略對郵件的保護
(三)忌疏忽設置各項功能
(四)忌輕信網絡的安全性
(五)忌輕視數據備份
QQ“緣”病毒
病毒特征:
該病毒用VB語言編寫,采用ASPack壓縮,利用QQ消息傳播。運行后會將IE默認首頁改變為:HTTP://WWW._115.COM/,如果你發現自己的IE首頁被修改成以上網址,就是被該病毒感染了。
病毒會利用QQ發送例如“今天在網上下了本電子書,書名叫《緣》,寫得不錯,而且書的作者的名字很巧…………點擊下面這個地址可以下載這本書”;“1937年12月13日,300000南京人民被侵華日軍集體大屠殺!!!所有的中國人都不應忘記這個日子,從始至終日本人都沒有改變它們的野心!中華兒女要團結自強牢記歷史,我們要時刻警惕日本人的野心,釣魚島是中國的領土!!!臺灣是中國不可分割的一部份!!!請你將此消息發給你QQ上的好友!”等消息,消息里的鏈接是病毒網址。
清除方法:
使用了下面的辦法將其徹底刪除。
找到下列文件: C:\windows\system\noteped.e_e C:\windows\system\Taskmgr.e_e C:\Windows\noteped.e_e C:\Windwos\system32\noteped.e_e 刪除掉:其中Taskmgr.e_e 要先打開"window 任務管理器",選中進程"Taskmgr.e_e",殺掉注意:有兩個名字叫"Taskmgr.e_e"進程,一個是QQ病毒,一個是你剛才打開的"Window 認為管理器"然后到注冊表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"找到"Taskmgr" 刪除 如果你還不明白那請你先找到那幾個文件,然后再按下面步驟操作: 1.在任務欄上點擊鼠標右鍵,選擇任務管理器
2.選擇進程里的Taskmgr.e_e,但我后來又測試也進行名稱不一定是大寫的,也有可能是小寫,一般排在上面的一個是。
3.點擊開始-運行,輸入Regedit進入注冊表
4.在注冊表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,將Taskmgr"項刪除"。 刪除后重啟計算機,《緣》QQ病毒宣布徹底刪除。
另外提醒大家,盡快更新你的IE到IE6 SP1 這樣可以減少很多的IE被改機會。
“愛情森林”病毒
病毒特征:
該木馬程序原始文件名為hack.e_e,用Delphi編寫,進行了壓縮。木馬程序被運行后會:
1、復制自身到Windows操作系統的system目錄(通常為windowssystem)下,并改名為E_plorer.e_e。由于它和Windows目錄下的E_plorer文件同名,因此會迷惑用戶,使用戶誤認為這是一個正常的系統文件。
2、修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值E_plorer="%windowssystem%E_plorer.e_e",使木馬程序可以在開機后自動運行。(其中%windowssystem%為Windows的系統目錄)
3、該木馬程序還會在站點http://orchid.diy.163.com/下載文件update.e_e,并執行下載下來的程序,進行其它的破壞活動。
清除方法
(1)先打開任務管理器,結束掉位于下面的那個E_plorer進程,然后刪除系統目錄下的木馬程序E_plorer.e_e。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。
(2)打開注冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為E_plorer的鍵值。 變種第一病毒特征:
該病毒運行后會:
1、復制兩個自己的拷貝到Windows的系統目錄(Win9_通常為Windowssystem,WinNt通常為WinNtsystem32)下,并分別更名為rundll.e_e和sysedit32.e_e。
2、修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.e_e",使木馬程序在開機后自動運行(其中%windowssystem%為Windows的系統目錄)。
3、修改注冊表,修改HKEY_CLASSES_ROOTt_tfileshellopencommand的默認鍵值為%windowssystem%sysedit32.e_e,關聯記事本,使用戶打開t_t文件時木馬程序能獲得運行機會。
4、該木馬會通過QQ程序向其它的QQ用戶發送“http://sckiss.yeah.net,你快去看看”的消息,誘導用戶瀏覽含有惡意代碼的網頁。
5、該木馬還會嘗試盜取QQ用戶的密碼并將其發送至指定的郵箱。有趣的是,由于病毒作者使用了一個組件來發送郵件,因此當木馬程序執行發送郵件的操作時,該組件可能會彈出兩個對話框,其中一個的內容為“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一個對話框為“Cannot open file .mima.t_t”。