熱心網友
一、“QQ尾巴”病毒 病毒主要特征 這種病毒并不是利用QQ本身的漏洞 進行傳播。它其實是在某個網站首頁上嵌入了一段惡意代碼,利用IE的iFrame系統漏洞自動運行惡意木馬程序,從而達到侵入用戶系統,進而借助QQ進行垃圾信息發送的目的。用戶系統如果沒安裝漏洞補丁或沒把IE升級到最高版本,那么訪問這些網站的時候其訪問的網頁中嵌入的惡意代碼即被運行,就會緊接著通過IE的漏洞運行一個木馬程序進駐用戶機器。然后在用戶使用QQ向好友發送信息的時候,該木馬程序會自動在發送的消息末尾插入一段廣告詞,通常都是以下幾句中的一種。 QQ收到信息如下: 1。 HoHo~~ **。com剛才朋友給我發來的這個東東。你不看看就后悔哦,嘿嘿。也給你的朋友吧。 2。 呵呵,其實我覺得這個網站真的不錯,你看看http://www。ktv***。com/ 3。 想不想來點搖滾粗口舞曲,中華 DJ 第一站,網址告訴你http://www。qq33**。com。。不要告訴別人 ~ 哈哈,真正算得上是國內最棒的 DJ 站點。 tp//www。hao***。com幫忙看看這個網站打不打的開。 tp://ni***。看看啊。我最近照的照片~才掃描到網上的。看看我是不是變了樣? 清除方法 1.在運行中輸入MSconfig,如果啟動項中有“Sendmess。exe”和“wwwo。exe”這兩個選項,將其禁止。在C:WINDOWS一個叫qq32。INI的文件,文件里面是附在QQ后的那幾句廣告詞,將其刪除。轉到DOS下再將“Sendmess。exe”和“wwwo。exe”這兩個文件刪除。 2.安裝系統漏洞補丁 由病毒的播方式我們知道,“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的,即使不執行病毒文件,病毒依然可以借由漏洞自動執行,達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。 iFrame漏洞補丁地址二、QQ“緣”病毒 病毒特征: 該病毒用VB語言編寫,采用ASPack壓縮,利用QQ消息傳播。運行后會將IE默認首頁改變為:HTTP://WWW。**115。COM/,如果你發現自己的IE首頁被修改成以上網址,就是被該病毒感染了。 病毒會利用QQ發送例如“今天在網上下了本電子書,書名叫《緣》,寫得不錯,而且書的作者的名字很巧…………點擊下面這個地址可以下載這本書”;“1937年12月13日,300000南京人民被侵華日軍集體大屠殺!!!所有的中國人都不應忘記這個日子,從始至終日本人都沒有改變它們的野心!中華兒女要團結自強牢記歷史,我們要時刻警惕日本人的野心,釣魚島是中國的領土!!!臺灣是中國不可分割的一部份!!!請你將此消息發給你QQ上的好友!”等消息,消息里的鏈接是病毒網址。 清除方法: 使用了下面的辦法將其徹底刪除。 找到下列文件: C:windowssystemnoteped。exe C:windowssystemTaskmgr。exe C:Windowsnoteped。exe C:Windwossystem32noteped。exe 刪除掉:其中Taskmgr。exe 要先打開"window 任務管理器",選中進程"Taskmgr。exe",殺掉注意:有兩個名字叫"Taskmgr。exe"進程,一個是QQ病毒,一個是你剛才打開的"Window 認為管理器"然后到注冊表中找到"HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun"找到"Taskmgr" 刪除 如果你還不明白那請你先找到那幾個文件,然后再按下面步驟操作: 1。在任務欄上點擊鼠標右鍵,選擇任務管理器 2。選擇進程里的Taskmgr。exe,但我后來又測試也進行名稱不一定是大寫的,也有可能是小寫,一般排在上面的一個是。 3。點擊開始-運行,輸入Regedit進入注冊表 4。在注冊表中找到 "HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun,將Taskmgr"項刪除"。 刪除后重啟計算機,《緣》QQ病毒宣布徹底刪除。 另外提醒大家,盡快更新你的IE到IE6 SP1 這樣可以減少很多的IE被改機會。 近來網上出現一種叫做“QQ尾巴”的木馬病毒。該病毒會偷偷藏在你的系統中,當你在使用QQ的時候,它會自動尋找QQ窗口,給在線上的QQ好友發送諸如“剛剛朋友給我發來的這個東東。你不看看要后悔哦--”之類的假消息,如果有人信以為真點擊該鏈接的話,將會感染上病毒,并且成為病毒的傳播源。三、“QQ狩獵者”病毒 病毒特征: 1、在進行QQ聊天時會在消息中加入信息"向你介紹一個好看的動畫網: " 2、當瀏覽帶毒網站時,會利用IE漏洞,嘗試新增sys文件和tmp文件的執行關聯,并下載執行病毒文件 s,如果IE已經打上補丁,則會彈出一個插件對話框,引誘用戶安裝,安裝后會將自己安裝到 %Windows%Downloaded Program Files 文件夾中,文件名為"b。exe",如果用戶拒絕安裝該插件,會不斷彈出對話框要求用戶安裝。 3、復制文件: A、復制病毒體到 %SystemRoot% 文件夾中,文件名為"Rundll32。exe"; B、復制病毒體為 "C:cmd。exe"; C、試圖復制病毒體到共享目錄中,名為"病毒專殺。exe"和"周杰倫演唱會。exe"。 4、添加注冊表啟動項,以隨機啟動在注冊表的主鍵:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun添加以下鍵值"LoadPowerProfile"="%SystemRoot%Rundll32。exe" 5、修改和新增以下文件關聯 A、修改。exe文件的關聯,每當執行exe文件時,即首先執行病毒預先復制的病毒文件。在注冊表的主鍵:HKEY_CLASS_ROOTexefileshellopencommand 修改如下鍵值:默認="C;cmd。exe %1 &*" B、新增。sys文件的執行關聯,使得在瀏覽帶毒網站時執行病毒文件 s在注冊表的主鍵: HKEY_CLASS_ROOTsysfileshellopencommand修改如下鍵值:默認="""%1"" %*" C、新增。tmp文件的執行關聯在注冊表的主鍵:HKEY_CLASS_ROOTtmpfileshellopencommand修改如下鍵值:默認="""%1"" %*" 6、試圖偷傳奇游戲的密碼,并通過自帶的郵件引擎以"mj25257758@ "的名義發送到"scmsmj@ "信箱中。 7、在Win2000、WinXP、Win2003系統中,系統文件"Rundll32。exe"就在系統目錄中,因而病毒會嘗試將該文件覆蓋,但這幾個系統都能自動保護并恢復受到破壞的系統文件,因而病毒不能正常加載,但仍可以通過EXE關聯被加載。 清除方法: A、關閉Windows Me、Windows XP、Windows 2003的“系統還原”功能; B、重新啟動到安全模式下; C、先將regedit。exe改名為 ,再用資源管理器結束cmd。exe進程,然后運行 ,將EXE關聯修改為""%1" %*",再刪除以下文件:C:cmd。exe、%Windows%Download Program Filesb。exe。對于Win9x系統,還要刪除%SystemRoot%Rundll32。exe,再到共享目錄中看有沒有"病毒專殺。exe"和"周杰倫演唱會。exe"這兩個文件,文件大小為11184字節,如果有,將其刪除。 D、清理注冊表: 打開注冊表,刪除主鍵 HKEY_CLASSES_ROOTsysfileshellopen、HKEY_CLASSES_ROOTtmpfileshellopen 修改 HKEY_CLASSES_ROOTexefileshellopencommand 的鍵值為 "%1" %* 防范措施: 不要輕易點擊QQ上的不明鏈接,不要安裝來歷不明的插件(如該病毒網站上所謂的"動畫播放插件2。0")。四、“武漢男生”病毒 病毒特性: 此病毒是“武漢男生”的一系列新變種,病毒發作后會利 天工具進行傳播,定時給QQ網友發送包含網址的信息來誘使用戶點擊,該網頁利用了IE的Object Data漏洞下載并運行病毒本身,該漏洞是由HTML中OBJECT的DATA標簽引起的。對于DATA所標記的URL,IE會根據服務器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta,那么該URL指定的文件就能夠執行,無論IE設置的安全級別有多高。 該變種較明顯的特點是,病毒運行后,除定時發給QQ網友同樣的網址外還會趁機盜取“傳奇”游戲的帳戶、密碼以及其他信息,并以郵件形式發給盜密碼者,還會結束多種反病毒軟件,以保護自身不被清除。 (1)如果點擊病毒網頁,將會顯示美女圖片,而同時彈出一個標題為“asp空間”的不可見窗口。此網頁利用IE漏洞,下載并運行 f和 p文件,其中 f并不是圖像文件,而是exe類型的病毒體, p是病毒釋放器; (2)病毒一旦運行,將結束大部分殺毒軟件、防火墻以及某些病毒專殺工具; (3)每隔一段時間給QQ網友發送信息 (4)病毒運行后會復制自身到系統目錄下,文件名是updater。exe、Systary。exe、sysnot。exe,并在注冊表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices中添加:“windows update” = “%安裝目錄%systemupdater。exe” %安裝目錄% 是Windows 系統的安裝目錄,在不同系統下該目標表現可能不同,可能的有:c:windows;c:winnt 等。 (5)修改文本文件(*。txt)關聯和可執行文件關聯,直接指向病毒本身,如果用戶運行任意的txt文件和exe文件都會激活病毒。 (6)病毒會在計算機中搜索傳奇游戲的帳戶、密碼以及其他信息,發送到指定的E-Mail信箱。 清除病毒 1、刪除病毒在系統目錄下釋放的病毒文件 2、刪除病毒在注冊表下生成的鍵值 3、運行殺毒軟件,對病毒進行全面清除五、“愛情森林”病毒 (一)病毒特征 該木馬程序原始文件名為hack。exe,用Delphi編寫,并用UPX進行了壓縮。木馬程序被運行后會: 1、復制自身到Windows操作系統的system目錄(通常為windowssystem)下,并改名為Explorer。exe。由于它和Windows目錄下的Explorer文件同名,因此會迷惑用戶,使用戶誤認為這是一個正常的系統文件。 2、修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer。exe",使木馬程序可以在開機后自動運行。(其中%windowssystem%為Windows的系統目錄) 3、該木馬程序還會在站點 清除方法(1)先打開任務管理器,結束掉位于下面的那個Explorer進程,然后刪除系統目錄下的木馬程序Explorer。exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。(2)打開注冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。二)變種一病毒特征 該病毒運行后會: 1、復制兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,并分別更名為rundll。exe和sysedit32。exe。 2、修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll。exe",使木馬程序在開機后自動運行(其中%windowssystem%為Windows的系統目錄)。 3、修改注冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32。exe,關聯記事本,使用戶打開txt文件時木馬程序能獲得運行機會。4、該木馬會通過 字節)。(3)打開注冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll。exe"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾)(4)若根目錄下存在文件setup。txt或mima。txt,將其刪除。。
熱心網友
用瑞星QQ病毒專殺吧!
熱心網友
到這里的qq工具中下載專殺:
熱心網友
QQ病毒專殺 或使用3721的反間諜專家和安博士在線