- 注册
- 2004-08-16
- 帖子
- 7,441
- 反馈评分
- 65
- 点数
- 71
1.http://www.18hi.com删除方法
在安全模式下删除以下文件:
%Windows%\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\taskmgr.exe(金山影霸RM图标)
%Windows%\System\win.dll
%Windows%\System\windll.dll
%Windows%\System32\N0tepad.exe(关联TXT文件,金山影霸RM图标)
注意:N0tepad.exe中的0是数字0,不是字母O。
去掉病毒的启动项信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"="%Windows%\System\taskmgr.exe"
最后还要恢复TXT文件关联。
2.http://dvd.qq92.com删除方法
用任务管理器结束smss.exe(一个是系统进程无法结束,一个是病毒可以结束),结束可能存在的intrenat.exe winsym.exe winpass.exe。
然后删除以下文件:
%WINDIR%\intrenat.exe
%WINDIR%\smss.exe
%System%\winsym.exe
%System%\winpass.exe
删除注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
3.http://www.joyiex.com删除方法
先结束Explorer.exe进程,然后再把Explorer.exe运行起来。
在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为1。
然后删除以下文件:
%Windows%\bak.exe
%System%\huangjiaju.exe(0字节)
%System%\cc1.exe
%System%\cc2.exe
%System%\cc3.exe
%System%\whboy.exe
%System%\whboy.txt
%System%\whboy***.txt(***为数字)
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
一直有变化的主要是%System%目录下xx1.exe、xx2.exe和xx3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决。
4.http://www.mydj2005.com删除方法
在安全模式下删除:
%System%\down1.exe
%System%\down2.exe
%System%\huangjiaju.exe(0字节)
%System%\migpwda.exe
%System%\migpwdb.exe
%System%\migpwdc.exe(关联TXT)
删除病毒的启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windows update = %System%\migpwda.exe
病毒把TXT文件关联修改为“%System%\migpwdc.exe %1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
5.QQ速配
蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。
病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改。
删除方法
安全模式下删除%windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)
注:%System%文件夹默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
6.http://www.91tg.net/rm.asp?.rm删除方法
删除病毒对注册表所作的更改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF6}
然后重新启动删除以下文件:
%WINDIR%\services.exe
%system%\browscue.dll
%system%\member.exe
%System%\winsocks.dll
还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe
7.http://www.400.net删除方法
先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件:
%Windows%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]――这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。――重点是那个txt文件,必须先结束Explorer.exe才能够删除它。
8.http://www.joyiex.com删除方法
先用任务管理器结束Explorer.exe进程,接着删除以下文件(可以通过WinRAR的主程序删除文件):
%System%\msapi.exe
%System%\msapi.dll
此病毒已经禁用注册表编辑器,大家可以在网上搜索解锁办法或者使用注册表修复工具可以轻松解锁。
其他的几个是武汉男生2005:
安全模式下,先用任务管理器结束Explorer.exe进程,接着删除以下文件:
%Windir%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]――这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
9.http://www.QQ.5qt.net删除方法
在安全模式下删除:
%System%\logonuit.exe
%System%\mstinitt.exe(关联TXT文件)
%System%\windows.exe
删除病毒加在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下的启动项:windows update = %System%\logonuit.exe
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\windows.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\windows.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
还要恢复TXT关联。
10.http://photo.rm510.com/pic.asp?删除方法
到注册表编辑器里删除这些信息:
HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默认) = "winmem"
"services" = "%Windows%\services.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"services" = "%Windows%\services.exe"
重新启动计算机后删除以下文件:
%Windows%\services.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
%System%\bhjx.dll
%System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winco.exe
%System%\winco1.exe
%System%\winco2.exe
%System%\winmem.exe
%System%\WinSocks.dll
11.QQ自动发送一些诱惑性名称的可执行文件(图标是压缩文档的图标)
打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)。
然后让Windows显示隐藏文件,找到以下文件并且将其删除:
%System%\.exe
%System%\notepad.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
然后打开注册表编辑器删除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值。
最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。
12.武汉男生变种
症状:
通过发送以下信息诱惑用户点击
http://www.4OO.net 帮忙看看这个网站打不打的开。上次看了个网站不错,去看看吧-- http://www.4OO.net
刚刚在这个网站下载了个免费的QQ秀 http://www.QQ.5qt.net,
你看好看吗?我现在有好多Q币了!!!你要不要?要的话赶快去
http://vip.6to23.com/sedvd/FreeQB.htm 免费申请!迟了就没啦!!快~这个网站送QQ币了,http://vip.6to23.com/sedvd/FreeQB.htm 一个QQ号可以申请28个QQ秀的衣服 好像这个网站的电影不错~~ http://178dx.com/vod/
这个视频聊天室人真多,http://r123.net/liao.htm 我们也去这个聊天室群体视频聊天好不好这个网站送QQ币了,http://vip.6to23.com/sedvd/FreeQB.htm 一个号码最多可以申请28个QQ币 http://4OO.net/lj/lj.exe/2EoX2S
清除:
删除这个启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
QQServer = %WINDOWS%\QQ.exe
在安全模式下删除以下文件:
%WINDOWS%\QQ.exe
13.http://www.3721see.com/myfriend/index.htm:删除方法
在安全模式下删除:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL
%System%\SP00LSV.EXE
%System%\system32.exe
并删除它们的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
slime = %System%\slime.exe
appService = %System%\Service.exe
system32 = %System%\system32.exe
slService = %System%\slserve.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
ScanRegedit = %System%\SP00LSV.EXE
14.http://www.4755.net删除方法
如果系统是Windows 9x,病毒将系统原来的Internat.exe和Rundll32.exe复制到C盘根目录,把自己以Internat.exe和Rundll32.exe文件名复制到它们原来的位置,所以在删除了病毒文件后要把C盘根目录下病毒“好心”备份的原系统文件复制回去。
在安全模式下删除:
%Windows%\Cqdll.dll
%Windows%\delttoul.exe
%Windows%\lsass.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
%Windows%\rundll32.exe
%Windows%\services.exe
%Windows%\smss.exe
%Windows%\ywin32.dll
%System%\cq0dll.dll
%System%\hiddukel.dll
%System%\huangjiaju.exe
%System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\slsorve.exe
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winc1.exe
%System%\winc2.exe
%System%\winmem.exe
%System%\WinSocks.dll
%System%\yyd55dg.dll
%System%\yyd55dg.exe
%ProgramFiles%\explorer.exe
删除病毒建立的启动项信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
(默认) = winmem
loadMecq0 = %ProgramFiles%\explorer.exe
SysDll32_ = %Windows%\delttoul.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
slSorvice = %System%\slsorve.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
ws_dd = %Windows%\lsass.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
26 = %System%\slsorve.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ws_dd = %Windows%\lsass.exe
smss = %Windows%\smss.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
smss = %Windows%\smss.exe
还要删除:
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks]下的{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
编辑WIN.INI文件中run=%Windows%\smss.exe为run= (Windows 9x);
在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,修改右边“run”的内容,将“%Windows%\smss.exe”删除,改为空(Windows NT/2000/XP/2003)。
编辑SYSTEM.INI文件中Shell = Explorer.exe %Windows%\lsass.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %Windows%\lsass.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
恢复被修改的起始页信息:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page,建议设置为“about:blank”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page,建议设置为“about:blank”
15.http://mm5i.com删除方法
在安全模式下删除以下文件:
%Windows%\csrss.exe(透明图标)
%System%\001.exe
%System%\444.reg
%System%\chk.exe
%System%\chk20.exe
%System%\HMRes.dll
%System%\huanyuan.exe
%System%\pj.exe
%System%\pojie.exe
%System%\SimCom.dll
%System%\winpass.exe(透明图标)
%System%\Ws2help32.dll
%System%\YZDLL32.DLL
%System%\huangjiaju.exe(0字节)
删除%Windows%\csrss.exe的四个启动项,分别在:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
恢复被修改的Start Page(yyue.net)设置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
16.http://***www.sou99.com 和 http://www.qq46.com/home?:
删除注册表中这几个:
HKLM\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKCU\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKLM\software\microsoft\windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
HKCU\software\Microsoft\Windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
然后重新启动计算机,删除%windir%下的csrss.exe即可。
17.http://www.vmqq.com:
在安全模式下删除以下文件:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL(注意是数字0不是字母o)
%System%\SP00LSV.EXE(注意是数字0不是字母o)
%System%\system32.exe
删除它们的启动项及NTdhcp.exe的启动项即可。
18.QQ大盗
症状
“QQ大盗”病毒可以利用IE浏览器mht漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的chm文件, “QQ大盗”病毒即内嵌其中并开始自动运行。
1、 该木马程序运行后,将在系统文件夹生成:%SystemDir%\NTdhcp.exe,28400字节。
并添加注册表项:
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“NTdhcp” = %SystemDir%\NTdhcp.exe
这样,在Windows启动时,木马得以自动运行。
2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。
清除:
首先运行任务管理器,查找并结束掉NTdhcp.exe进程
按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件,手工删除,。运行REGEDIT注册表编辑器,定位到
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
19.http://www.19ku.com:
在安全模式下删除
%System32%\notepad
%System%\notepad
%System%\taskmgr.exe
%windows%\notepad
删除%System%\taskmgr.exe时注意:打开任务管理器,结束进程里的两个taskmgr.exe之中的上面的一个,再去删除taskmgr.exe,OK!!!
不能把systern32文件夹里的taskmgr.exe删除,那可是真的任务管理器程序。再,记住病毒发生的时间非常重要
(感谢瑞星反病毒论坛提供)
在安全模式下删除以下文件:
%Windows%\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\taskmgr.exe(金山影霸RM图标)
%Windows%\System\win.dll
%Windows%\System\windll.dll
%Windows%\System32\N0tepad.exe(关联TXT文件,金山影霸RM图标)
注意:N0tepad.exe中的0是数字0,不是字母O。
去掉病毒的启动项信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"="%Windows%\System\taskmgr.exe"
最后还要恢复TXT文件关联。
2.http://dvd.qq92.com删除方法
用任务管理器结束smss.exe(一个是系统进程无法结束,一个是病毒可以结束),结束可能存在的intrenat.exe winsym.exe winpass.exe。
然后删除以下文件:
%WINDIR%\intrenat.exe
%WINDIR%\smss.exe
%System%\winsym.exe
%System%\winpass.exe
删除注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
3.http://www.joyiex.com删除方法
先结束Explorer.exe进程,然后再把Explorer.exe运行起来。
在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为1。
然后删除以下文件:
%Windows%\bak.exe
%System%\huangjiaju.exe(0字节)
%System%\cc1.exe
%System%\cc2.exe
%System%\cc3.exe
%System%\whboy.exe
%System%\whboy.txt
%System%\whboy***.txt(***为数字)
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
一直有变化的主要是%System%目录下xx1.exe、xx2.exe和xx3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决。
4.http://www.mydj2005.com删除方法
在安全模式下删除:
%System%\down1.exe
%System%\down2.exe
%System%\huangjiaju.exe(0字节)
%System%\migpwda.exe
%System%\migpwdb.exe
%System%\migpwdc.exe(关联TXT)
删除病毒的启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windows update = %System%\migpwda.exe
病毒把TXT文件关联修改为“%System%\migpwdc.exe %1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
5.QQ速配
蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。
病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改。
删除方法
安全模式下删除%windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)
注:%System%文件夹默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
6.http://www.91tg.net/rm.asp?.rm删除方法
删除病毒对注册表所作的更改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF6}
然后重新启动删除以下文件:
%WINDIR%\services.exe
%system%\browscue.dll
%system%\member.exe
%System%\winsocks.dll
还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe
7.http://www.400.net删除方法
先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件:
%Windows%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]――这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。――重点是那个txt文件,必须先结束Explorer.exe才能够删除它。
8.http://www.joyiex.com删除方法
先用任务管理器结束Explorer.exe进程,接着删除以下文件(可以通过WinRAR的主程序删除文件):
%System%\msapi.exe
%System%\msapi.dll
此病毒已经禁用注册表编辑器,大家可以在网上搜索解锁办法或者使用注册表修复工具可以轻松解锁。
其他的几个是武汉男生2005:
安全模式下,先用任务管理器结束Explorer.exe进程,接着删除以下文件:
%Windir%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]――这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
9.http://www.QQ.5qt.net删除方法
在安全模式下删除:
%System%\logonuit.exe
%System%\mstinitt.exe(关联TXT文件)
%System%\windows.exe
删除病毒加在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下的启动项:windows update = %System%\logonuit.exe
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\windows.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\windows.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
还要恢复TXT关联。
10.http://photo.rm510.com/pic.asp?删除方法
到注册表编辑器里删除这些信息:
HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默认) = "winmem"
"services" = "%Windows%\services.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"services" = "%Windows%\services.exe"
重新启动计算机后删除以下文件:
%Windows%\services.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
%System%\bhjx.dll
%System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winco.exe
%System%\winco1.exe
%System%\winco2.exe
%System%\winmem.exe
%System%\WinSocks.dll
11.QQ自动发送一些诱惑性名称的可执行文件(图标是压缩文档的图标)
打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)。
然后让Windows显示隐藏文件,找到以下文件并且将其删除:
%System%\.exe
%System%\notepad.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
然后打开注册表编辑器删除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值。
最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。
12.武汉男生变种
症状:
通过发送以下信息诱惑用户点击
http://www.4OO.net 帮忙看看这个网站打不打的开。上次看了个网站不错,去看看吧-- http://www.4OO.net
刚刚在这个网站下载了个免费的QQ秀 http://www.QQ.5qt.net,
你看好看吗?我现在有好多Q币了!!!你要不要?要的话赶快去
http://vip.6to23.com/sedvd/FreeQB.htm 免费申请!迟了就没啦!!快~这个网站送QQ币了,http://vip.6to23.com/sedvd/FreeQB.htm 一个QQ号可以申请28个QQ秀的衣服 好像这个网站的电影不错~~ http://178dx.com/vod/
这个视频聊天室人真多,http://r123.net/liao.htm 我们也去这个聊天室群体视频聊天好不好这个网站送QQ币了,http://vip.6to23.com/sedvd/FreeQB.htm 一个号码最多可以申请28个QQ币 http://4OO.net/lj/lj.exe/2EoX2S
清除:
删除这个启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
QQServer = %WINDOWS%\QQ.exe
在安全模式下删除以下文件:
%WINDOWS%\QQ.exe
13.http://www.3721see.com/myfriend/index.htm:删除方法
在安全模式下删除:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL
%System%\SP00LSV.EXE
%System%\system32.exe
并删除它们的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
slime = %System%\slime.exe
appService = %System%\Service.exe
system32 = %System%\system32.exe
slService = %System%\slserve.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
ScanRegedit = %System%\SP00LSV.EXE
14.http://www.4755.net删除方法
如果系统是Windows 9x,病毒将系统原来的Internat.exe和Rundll32.exe复制到C盘根目录,把自己以Internat.exe和Rundll32.exe文件名复制到它们原来的位置,所以在删除了病毒文件后要把C盘根目录下病毒“好心”备份的原系统文件复制回去。
在安全模式下删除:
%Windows%\Cqdll.dll
%Windows%\delttoul.exe
%Windows%\lsass.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
%Windows%\rundll32.exe
%Windows%\services.exe
%Windows%\smss.exe
%Windows%\ywin32.dll
%System%\cq0dll.dll
%System%\hiddukel.dll
%System%\huangjiaju.exe
%System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\slsorve.exe
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winc1.exe
%System%\winc2.exe
%System%\winmem.exe
%System%\WinSocks.dll
%System%\yyd55dg.dll
%System%\yyd55dg.exe
%ProgramFiles%\explorer.exe
删除病毒建立的启动项信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
(默认) = winmem
loadMecq0 = %ProgramFiles%\explorer.exe
SysDll32_ = %Windows%\delttoul.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
slSorvice = %System%\slsorve.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
ws_dd = %Windows%\lsass.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
26 = %System%\slsorve.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ws_dd = %Windows%\lsass.exe
smss = %Windows%\smss.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
smss = %Windows%\smss.exe
还要删除:
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks]下的{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
编辑WIN.INI文件中run=%Windows%\smss.exe为run= (Windows 9x);
在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,修改右边“run”的内容,将“%Windows%\smss.exe”删除,改为空(Windows NT/2000/XP/2003)。
编辑SYSTEM.INI文件中Shell = Explorer.exe %Windows%\lsass.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %Windows%\lsass.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
恢复被修改的起始页信息:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page,建议设置为“about:blank”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page,建议设置为“about:blank”
15.http://mm5i.com删除方法
在安全模式下删除以下文件:
%Windows%\csrss.exe(透明图标)
%System%\001.exe
%System%\444.reg
%System%\chk.exe
%System%\chk20.exe
%System%\HMRes.dll
%System%\huanyuan.exe
%System%\pj.exe
%System%\pojie.exe
%System%\SimCom.dll
%System%\winpass.exe(透明图标)
%System%\Ws2help32.dll
%System%\YZDLL32.DLL
%System%\huangjiaju.exe(0字节)
删除%Windows%\csrss.exe的四个启动项,分别在:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
恢复被修改的Start Page(yyue.net)设置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
16.http://***www.sou99.com 和 http://www.qq46.com/home?:
删除注册表中这几个:
HKLM\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKCU\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKLM\software\microsoft\windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
HKCU\software\Microsoft\Windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
然后重新启动计算机,删除%windir%下的csrss.exe即可。
17.http://www.vmqq.com:
在安全模式下删除以下文件:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL(注意是数字0不是字母o)
%System%\SP00LSV.EXE(注意是数字0不是字母o)
%System%\system32.exe
删除它们的启动项及NTdhcp.exe的启动项即可。
18.QQ大盗
症状
“QQ大盗”病毒可以利用IE浏览器mht漏洞,通过利用该漏洞编写的恶意网页代码,自动下载一个网上的chm文件, “QQ大盗”病毒即内嵌其中并开始自动运行。
1、 该木马程序运行后,将在系统文件夹生成:%SystemDir%\NTdhcp.exe,28400字节。
并添加注册表项:
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“NTdhcp” = %SystemDir%\NTdhcp.exe
这样,在Windows启动时,木马得以自动运行。
2、 “QQ大盗”病毒(Trojan/PSW.QQpass.br)的盗取目标是用户的QQ号、密码和详细的QQ资料信息。
清除:
首先运行任务管理器,查找并结束掉NTdhcp.exe进程
按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件,手工删除,。运行REGEDIT注册表编辑器,定位到
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run],将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。
19.http://www.19ku.com:
在安全模式下删除
%System32%\notepad
%System%\notepad
%System%\taskmgr.exe
%windows%\notepad
删除%System%\taskmgr.exe时注意:打开任务管理器,结束进程里的两个taskmgr.exe之中的上面的一个,再去删除taskmgr.exe,OK!!!
不能把systern32文件夹里的taskmgr.exe删除,那可是真的任务管理器程序。再,记住病毒发生的时间非常重要
(感谢瑞星反病毒论坛提供)
