|
|
|
手工查杀QQ病毒的方法
|
|
作者:本站原创
来源:网络 更新日期:2007-9-2
阅读次数:
|
|
|
1.删除方法
在安全模式下删除以下文件:
Windows\N0tepad.exe(关联TXT文件,金山影霸RM图标)
Windows\System\N0tepad.exe(关联TXT文件,金山影霸RM图标)_
Windows\System\taskmgr.exe(金山影霸RM图标)
Windows\System\win.dll
Windows\System\windll.dll
Windows\System32\N0tepad.exe(关联TXT文件,金山影霸RM图标)
注意:N0tepad.exe中的0是数字0,不是字母O。
去掉病毒的启动项信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"taskmgr"="Windows\System\taskmgr.exe
最后还要恢复TXT文件关联。
软件下载址:资源共享
2.删除方法
用任务管理器结束smss.exe(一个是系统进程无法结束,一个是病毒可以结束),结束可能存在的intrenat.exewinsym.exewinpass.exe。
然后删除以下文件:
WINDIR\intrenat.exe
WINDIR\smss.exe
System\winsym.exe
System\winpass.exe
删除注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run:WINDIR\smss.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices:WINDIR\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run:WINDIR\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices:WINDIR\smss.exe
3.删除方法
先结束Explorer.exe进程,然后再把Explorer.exe运行起来。
在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下Checkedvalue的值为1。
然后删除以下文件:
Windows\bak.exe
System\huangjiaju.exe(0字节)
System\cc1.exe
System\cc2.exe
System\cc3.exe
System\whboy.exe
System\whboy.txt
System\whboy***.txt(***为数字)
编辑SYSTEM.INI文件中Shell=Explorer.exeSystem\whboy.exe为ShellExplorer.exe(Windows9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exeSystem\whboy.exe”修改为“Explorer.exe”(WindowsNT/2000/XP/2003)。
一直有变化的主要是System目录下xx1.exe、xx2.exe和xx3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决
4.删除方法
在安全模式下删除:
System\down1.exe
System\down2.exe
System\huangjiaju.exe(0字节)
System\migpwda.exe
System\migpwdb.exe
System\migpwdc.exe(关联TXT)
删除病毒的启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windowsupdate=System\migpwda.exe/
病毒把TXT文件关联修改为“System\migpwdc.exe1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。
编辑SYSTEM.INI文件中Shell=Explorer.exeSystem\migpwdb.exe为Shell=Explorer.exe(Windows9x)
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exeSystem\migpwdb.exe”修改为“Explorer.exe”(WindowsNT/2000/XP/2003)。
蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。
病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改
删除方法
安全模式下删除windows/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)
注:System文件夹默认为:
C:\Windows\System(Windows95/98/Me),
C:\Winnt\System32(WindowsNT/2000),
或C:\Windows\System32(WindowsXP).
6.删除方法
删除病毒对注册表所作的更改
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run:member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run:services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices:member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices:services.exe
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF6}.
然后重新启动删除以下文件:
WINDIR\services.exe
system\browscue.dll
system\member.exe
System\winsocks.dll
还有桌面上和系统盘根目录下和DocumentsandSettings\“用户名”下可能生成的a1.exe,a2.exe,a3.exe
7.删除方法
先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件:
Windows\bak.exe
System\whboy.exe
[System\whboy.txt和System\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell=Explorer.exeSystem\whboy.exe为Shell=Explorer.exe(Windows9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exeSystem\whboy.exe”修改为“Explorer.exe”(WindowsNT/2000/XP/2003)。——重点是那个txt文件,必须先结束Explorer.exe才能够删除它。
8.删除方法
先用任务管理器结束Explorer.exe进程,接着删除以下文件(可以通过WinRAR的主程序删除文件):
System\msapi.exe
System\msapi.dll
此病毒已经禁用注册表编辑器,大家可以在网上搜索解锁办法或者使用注册表修复工具可以轻松解锁
其他的几个是武汉男生
安全模式下,先用任务管理器结束Explorer.exe进程,接着删除以下文件:
Windir\bak.exe
System\whboy.exe
[System\whboy.txt和System\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell=Explorer.exeSystem\whboy.exe为Shell=Explorer.exe(Windows9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exeSystem\whboy.exe”修改为“Explorer.exe”(WindowsNT/2000/XP/2003)。
!
9.删除方法
在安全模式下删除:
System\logonuit.exe
System\mstinitt.exe(关联TXT文件)
System\windows.exe
删除病毒加在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下的启动项:windowsupdate=System\logonuit.exe
编辑SYSTEM.INI文件中Shell=Explorer.exeSystem\windows.exe为Shell=Explorer.exe(Windows9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exeSystem\windows.exe”修改为“Explorer.exe”(WindowsNT/2000/XP/2003)。
还要恢复TXT关联。
10.删除方法
到注册表编辑器里删除这些信息:
HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默认)="winmem"
"services"="Windows\services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"services"="Windows\services.exe"\
重新启动计算机后删除以下文件:
Windows\services.exe
Windows\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
System\bhjx.dll
System\lnterapi32.dll(lnterapi32.dll的第一个字母是L
System\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
System\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
System\winco.exe
System\winco1.exe
System\winco2.exe
System\winmem.exe
System\WinSocks.dll
11.QQ自动发送一些诱惑性名称的可执行文件(图标是压缩文档的图标)
打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)
然后让Windows显示隐藏文件,找到以下文件并且将其删除:`
System\.exe
System\notepad.exe
Windir\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
然后打开注册表编辑器删除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值
最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。
[1]
|
|
|
