主页 PC知识 网管技术 黑客帝国 安全技术 开放系统 程序设计 搜索 技术论坛

 

相关联接
 
RHU本级分类

路由技术
交换技术
网管天地
网络攻防
安全资讯
OICQ攻略
无线技术
解决方案
 
RHU阅读排行
·打造你自己的QQ聊天场景
·QQ游戏FAQ大全
·用手机挂Q——来自PICA的免费服务
·拥有多个QQ群的好办法
·嵌入式木马---QQ另类木马全攻略
·价值360个Q币的官方头像下载
·手机WAP使用攻略及答疑
·详解六大QQ病毒特征及清除方法
·OICQ操作技巧之葵花宝典(2)
·OICQ操作技巧之葵花宝典(1)

 
 
RHU最新文章
·获赠QQ秀再次转送给好友的实用技巧
·QQ安装目录下各文件用途不完全揭密
·全面学习手工查杀QQ病毒
·QQ隐身时只让指定好友看到你在线
·QQ自动发送文件的解决方法
·QQ宠物喂养手册:基本养成指南
·QQ宠物喂养手册:进阶养成指南
·删除QQ面板上的音乐播放栏
·给你的QQ登录界面换上个性化图像
·宠物炫QQ表情3.0

 
 
RHU相关搜索









 
 
RHU广而告之

 
 
>您的位置:首页 -> 网管技术-> OICQ攻略
全面学习手工查杀QQ病毒

作者:RHU-TAC编辑员 来自:RHU网络采集 时间:2005-7-23 双击滚屏 收藏本页 字体:

点击 查看RHU2004全年文章


1.http://www.18hi.com删除方法 
  在安全模式下删除以下文件: 
  %Windows%\N0tepad.exe(关联TXT文件,金山影霸RM图标) 
  %Windows%\System\N0tepad.exe(关联TXT文件,金山影霸RM图标)_ 
  %Windows%\System\taskmgr.exe(金山影霸RM图标) 
  %Windows%\System\win.dll 
  %Windows%\System\windll.dll 
  %Windows%\System32\N0tepad.exe(关联TXT文件,金山影霸RM图标) 
  注意:N0tepad.exe中的0是数字0,不是字母O。 
   
  去掉病毒的启动项信息: 
  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
  "taskmgr"="%Windows%\System\taskmgr.exe  
  最后还要恢复TXT文件关联。 
   
  2.http://dvd.qq92.com删除方法 
  用任务管理器结束smss.exe(一个是系统进程无法结束,一个是病毒可以结束),结束可能存在的intrenat.exe winsym.exe winpass.exe。 
  然后删除以下文件: 
  %WINDIR%\intrenat.exe 
  %WINDIR%\smss.exe 
  %System%\winsym.exe 
  %System%\winpass.exe 
  删除注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe 
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe 
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe 
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe 
   
  3.http://www.joyiex.com删除方法 
  先结束Explorer.exe进程,然后再把Explorer.exe运行起来。 
   
  在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下Checkedvalue的值为1。   
  然后删除以下文件: 
  %Windows%\bak.exe 
  %System%\huangjiaju.exe(0字节) 
  %System%\cc1.exe 
  %System%\cc2.exe 
  %System%\cc3.exe 
  %System%\whboy.exe 
  %System%\whboy.txt 
  %System%\whboy***.txt(***为数字) 
  编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell Explorer.exe(Windows 9x); 

  在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。 
  一直有变化的主要是%System%目录下xx1.exe、xx2.exe和xx3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决 
     
  4.http://www.mydj2005.com删除方法 
  在安全模式下删除: 
  %System%\down1.exe 
  %System%\down2.exe 
  %System%\huangjiaju.exe(0字节) 
  %System%\migpwda.exe 
  %System%\migpwdb.exe 
  %System%\migpwdc.exe(关联TXT) 
  删除病毒的启动项: 
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce 
  windows update = %System%\migpwda.exe/  
   
  病毒把TXT文件关联修改为“%System%\migpwdc.exe %1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。 
  编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe(Windows 9x) 
  在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。 
    
     
  蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。 
  病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改 
   
  删除方法 
  安全模式下删除%windows%/smss.exe文件  
  搜索注册表,所有smss相关的项一概删除  
  再修改startpage(就是ie默认的首页) 
   
  注:%System%文件夹默认为: 
  C:\Windows\System (Windows 95/98/Me),  
  C:\Winnt\System32 (Windows NT/2000),  
  或 C:\Windows\System32 (Windows XP).  
   
  6.http://www.91tg.net/rm.asp?.rm删除方法 
  删除病毒对注册表所作的更改 
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe 
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe 
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe 
  HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF6}. 
  然后重新启动删除以下文件: 
  %WINDIR%\services.exe 
  %system%\browscue.dll 
  %system%\member.exe 
  %System%\winsocks.dll 
  还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe 

    
  7.http://www.400.net删除方法 
  先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件: 
  %Windows%\bak.exe 
  %System%\whboy.exe 
  [%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话  
  编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me); 
  在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。——重点是那个txt文件,必须先结束Explorer.exe才能够删除它。 
   
  8.http://www.joyiex.com删除方法 
  先用任务管理器结束Explorer.exe进程,接着删除以下文件(可以通过WinRAR的主程序删除文件): 
  %System%\msapi.exe 
  %System%\msapi.dll 
  此病毒已经禁用注册表编辑器,大家可以在网上搜索解锁办法或者使用注册表修复工具可以轻松解锁 
   
  其他的几个是武汉男生 
  安全模式下,先用任务管理器结束Explorer.exe进程,接着删除以下文件: 
  %Windir%\bak.exe 
  %System%\whboy.exe 
  [%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话 
  编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me); 
  在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。 
  !  
  9.http://www.QQ.5qt.net删除方法  
  在安全模式下删除: 
  %System%\logonuit.exe 
  %System%\mstinitt.exe(关联TXT文件) 
  %System%\windows.exe 
  删除病毒加在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下的启动项:windows update = %System%\logonuit.exe 
  编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\windows.exe为Shell = Explorer.exe(Windows 9x); 
  在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\windows.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。 
  还要恢复TXT关联。 
   
  10.http://photo.rm510.com/pic.asp?删除方法 
  到注册表编辑器里删除这些信息: 
  HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F} 
   
  [HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname] 
   
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F} 
   
  HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7} 
   
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7} 
    
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
  (默认) = "winmem" 
  "services" = "%Windows%\services.exe 
   
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 
  "services" = "%Windows%\services.exe"\  
   
  重新启动计算机后删除以下文件: 
  %Windows%\services.exe 
  %Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L) 
  %System%\bhjx.dll 
  %System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L 
  %System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L) 
  %System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O) 
  %System%\winco.exe 
  %System%\winco1.exe 
  %System%\winco2.exe 
  %System%\winmem.exe 
  %System%\WinSocks.dll 


11.QQ自动发送一些诱惑性名称的可执行文件(图标是压缩文档的图标) 
  打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1) 
  然后让Windows显示隐藏文件,找到以下文件并且将其删除:` 
  %System%\.exe 
  %System%\notepad.exe 
  %Windir%\System\RUNDLL32.EXE 
  QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了) 
  然后打开注册表编辑器删除: 
  HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值 
  最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。

OVER
[1] 页 RedHyphone.Union 投稿邮箱
[特别声明]:
本站文章大多搜索转载自网络中,如果侵犯了您的权利,请告之我们。本站将立即删除。
本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有。
查看评论】【向上滚屏】【关闭窗口】【 打印
-相关文章
  • 认知盲区 解惑双网卡双线路DNS解析
  • FlashFXP 简体中文版 3.7.5 Build 1303 Beta[烈火]
  • 确认:番茄花园作者洪磊被检察院批准逮捕
  • 1983年的今天 DNS诞生
  • Windows 2003 IIS 6.0搭建asp+.net+php+jsp+mysql+mssql
    		•
    -文章评论 (关闭)
    ·还没有相关的评论!

    网上大名:
    红旋风网络技术联盟 RHUTech.Union
     
    Copyright © 2000-2007 RedHyphone.Union All Rights Reserved. 红旋风联盟版权所有.皖ICP备05011033号
    中国红旋风网络技术联盟 | www.RedHyphone.net
    Mailto:Redhyphone@gamil.com