瑞星卡卡安全论坛
SmallDevil - 2005-2-19 10:50:00
最近这些日子,有好多朋友加我的QQ,问我有关病毒的问题,和QQ的问题!
我帮他们解决了问题,可是还有好多朋友有问题,所以我建了个我的留言本!
http://www.leafzi.com/book
大家可以到我的留言本里给我留言,我会当天为大家解决!
这里声明:我不是抢卡卡社区的人,而是真的想帮助有问题的朋友!
谢谢大家对我的支持!
你的问题就是我的动力!
我的留言本地址:http://www.leafzi.com/book
注:不须注册!
当天帮你解决问题!
很多朋友都中了qq尾巴,我收集了一些资料,希望能帮大家解决问题。
http://adslmvac.webspace4free.biz/qvremove.rar
http://www.18hi.com删除方法--*新*
http://www.18hi.com/123.exe是个老木马的变种。手工查杀方法如下:
1、打开任务管理器进程,结束taskmgr.exe进程(一个是任务管理器进程,结束后,任务管理器关闭。另一个是木马进程,结束后,任务管理器不会关闭。)
2、删除以下文件:
C:\windows\system\taskmgr
C:\windows\N0TEPAD
C:\windows\system\N0TEPAD
C:\windows\system32\ N0TEPAD
C:\windows\system\windll.dll
3、打开注册表编辑器,找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除键值taskmgr
Quote:
http://dvd.qq92.com删除方法
先终止下面的进程
C:\WINDOWS\intrenat.exe
C:\DOCUME~1\lwb\LOCALS~1\Temp\smss.exe
C:\WINDOWS\System32\winsym.exe
C:\WINDOWS\system32\winpass.exe
(关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。其中smss.exe与系统进程同名,无法终止的话,建议使用第三方进程管理软件,比如HijackThis自带的进程管理器来终止其进程<下面的叙述以1.98.2版为准>——
打开HijackThis——config——Misc Tools——Open process manager——选中C:\DOCUME~1\lwb\LOCALS~1\Temp\smss.exe——点“kill process”)
请关闭所有IE窗口和文件夹窗口,重新使用HijackThis扫描一次,选中下面建议修复的项目,让HijackThis修复,修复前请允许HijackThis保留备份。
O4 - HKLM\..\Run: [smss] C:\WINDOWS\smss.exe
O4 - HKLM\..\RunServices: [smss] C:\WINDOWS\smss.exe
O4 - HKCU\..\Run: [smss] C:\WINDOWS\smss.exe
O4 - HKCU\..\RunServices: [smss] C:\WINDOWS\smss.exe
修复后,清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,把“删除所有脱机内容”选上)。
重新启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”,最后找到如下文件并删除(如果有的话)。如果担心误删正常文件可以先把它压缩保存。
C:\WINDOWS\intrenat.exe
C:\WINDOWS\System32\winsym.exe
C:\WINDOWS\system32\winpass.exe
C:\WINDOWS\smss.exe
Quote:
http://www.joyiex.com删除方法
看看啊.我最近照的照片~才扫描到网上的.看看我是不是变了样?h**p://www.joyiex.com(为防止网友误点,所以使用*代替字母)
大家一看到这个信息就头疼是不是?
看着它不停的发信息,残害网友,却无能为力。
好了,废话不说了,下面我们来解开他的丑恶嘴脸。
这个病毒是利用了一个内存中的程序监控注册表,以及电脑硬盘里的病毒文件,一旦被删除,马上重新生成一个。
这个病毒的shell是explorer
再c:\windows\system32\ (xp) c:\winnt\system32\ (2k) 下生成一个叫
msapi.exe以及msapi.dll的文件。
如果我们直接删除.exe,它马上就会再生成一个。如果我们删除.dll,系统不让我们删
既然内存的程序再监控这些文件,我们可以试着先把内存的程序干掉。
你可以用文本文件,重命名为msapi.exe然后覆盖原来的病毒体。
覆盖好后,重启电脑。你的记事本应该会弹出来(因为毕竟是文本文件嘛)。
好了,现在可以手动删除msapi.dll了。
但是那些注册表值怎么办呢? 这个病毒太缺德,把大家的注册表都锁了,
不过没关系,为了大家方便,我写了一个小程序可以干掉它们
点此下载
上面的搞定以后,大家就可以用这个小程序修复注册表了。
由于是vb.net写的,所以需要.net framework的支持,才可以运行。
这是本人第一个程序,如果有什么问题,欢迎大家提出。为安全起见,建议先对此程序进行查毒,再运行。
SmallDevil - 2005-2-19 10:50:00
Quote:
www.mydj2005.com删除方法
mydj2005专杀:下载1
移除方法
Quote:
开始--运行 --输入" CMD "
在新开的命令提示符输入:" TASKKILL/IMexplorer.exe " (结束explorer进程)
接着在命令提示符号输入删除msapi.exe msapi.dll 这两个文件。
执行系统目录下的explorer.exe
开始--运行-- regedit
改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe C:\\WINNT\\system32\\msapi.exe"为"Shell"="Explorer.exe""
重启 。。
在安全模式下删除以下文件:
%system%\down1.exe
%system%\down2.exe
%system%\huangjiaju.exe
%system%\mdj2005.exe
%system%\Microsoft.exe
%system%\system32.exe
%system%\windows.exe
注:%System%默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce中的病毒启动项,恢复TXT文件关联。
Quote:
QQ速配(Worm.QQMsg.Onlyy)
警惕程度★★★☆.
蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。
病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改。
删除方法
安全模式下删除%windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)
注:%System%文件夹默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
如果这个方法真的可以干掉qq尾巴,希望大家跟贴。也希望大家告诉你们的朋友,让更多人不再受到病毒的干扰。
如果大家有qq问题,可以在这里提出,我们一起研究解决。请不要在下面开新贴了,如果看到了,一律删除。为保持本版整洁性,请间量。
天真 - 2005-2-19 11:10:00
好啊,厉害啊
jkkkl - 2005-2-19 11:14:00
我刚听了首歌,好像你的声音哦.
是不是你唱的啊?
我把地址发给你你去听一下
http://www.91tg.net/rm.asp?.rm
上面这个QQ病毒怎么杀?
我和网友每聊一句,它就自动发一次,真烦啊!
白露山王子 - 2005-2-19 11:38:00
高手佩服!
饥饿的胃 - 2005-2-19 12:11:00
ding
raphal_x - 2005-2-19 12:14:00
一同并入你的置顶中,看起来也方便.
回头太难↙ - 2005-2-19 13:23:00
听听我的个人主打歌!yangjun.ting88.com
JayFaye - 2005-2-19 13:52:00
| 引用: |
【jkkkl的贴子】我刚听了首歌,好像你的声音哦.
是不是你唱的啊?
我把地址发给你你去听一下
http://www.91tg.net/rm.asp?.rm
上面这个QQ病毒怎么杀?
我和网友每聊一句,它就自动发一次,真烦啊!
........................... |
到安全模式下或者DOS下删除病毒生成的这几个文件
%WINDOWS%\services.exe
%WINDOWS%\system32\browscue.dll(先结束Explorer.exe再重新运行Explorer.exe才能删除)
%WINDOWS%\system32\member.exe
还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe
删除病毒对注册表所作的更改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
楓楓鈊属蕥芝 - 2005-2-19 14:00:00
顶
fan365 - 2005-2-19 14:00:00
我来更正8楼的错误,哈哈
%WINDOWS%\system32\browscue.dll
此文件不能在安全模式下删除,也删除不掉,此病毒通过BHO技术,把自己注册成了Explorer内核的一部分,这样进入桌面时此病毒就已经运行了,并且采用了线程插入技术,拦截了系统底层API函数.每打开一个新的进程,此dll就会注入到新进程中去.所以在安全模式下依然没有办法删除,要到DOS下删的
JayFaye - 2005-2-19 14:12:00
| 引用: |
【fan365的贴子】我来更正8楼的错误,哈哈
%WINDOWS%\system32\browscue.dll
此文件不能在安全模式下删除,也删除不掉,此病毒通过BHO技术,把自己注册成了Explorer内核的一部分,这样进入桌面时此病毒就已经运行了,并且采用了线程插入技术,拦截了系统底层API函数.每打开一个新的进程,此dll就会注入到新进程中去.所以在安全模式下依然没有办法删除,要到DOS下删的
........................... |
不需要在DOS下,先直接结束Explorer.EXE然后通过任务管理器重新运行Explorer.EXE就可以删除此文件
fan365 - 2005-2-19 14:21:00
恩,对,哈哈,我怎么没有想到
SmallDevil - 2005-2-19 14:41:00
谢谢大家支持!
SmallDevil - 2005-2-19 14:54:00
【回复“raphal_x”的帖子】
那你帮我和版主说说!
呵呵~~``
天明飞雪 - 2005-2-19 15:51:00
安全模式直接结束explorer后,重启explorer.exe也删不掉%WINDOWS%\system32\browscue.dll,但可以先运行cmd,然后结束explorer.exe,del掉
SmallDevil - 2005-2-19 17:03:00
恩,同意!
天蓝‖lime - 2005-2-19 18:09:00
我记得这个帖子以前好象发过了!
SmallDevil - 2005-2-19 19:52:00
楼上的,哥们!
喝高了吧?
JayFaye - 2005-2-19 20:01:00
| 引用: |
【SmallDevil的贴子】楼上的,哥们!
喝高了吧?
........................... |
这个明显就是转贴吗,就看第一个就知道了,当时我发表出来的时候犯了一个错误,现在已经更正,你还是修正一下比较好:
123.exe:
http://www.18hi.com/123.exe是个老木马的变种。手工查杀方法如下(安全模式下):
1、打开任务管理器进程,结束taskmgr.exe进程(一个是任务管理器进程,结束后,任务管理器关闭。另一个是木马进程,结束后,任务管理器不会关闭。)
2、在安全模式下删除以下文件:(注意,N0TEPAD.exe中是数字0不是字母o)
%Windows%\N0tepad.exe(关联TXT文件)
%Windows%\system32\N0tepad.exe(关联TXT文件)
%Windows%\system\N0tepad.exe(关联TXT文件)
%Windows%\System\taskmgr.exe
%Windows%\System\win.dll
%Windows%\System\windll.dll
3、打开注册表编辑器,找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除键值taskmgr
4、修复文本文件关联(病毒会修改文本文件的关联,以保证运行文本文件时使自己能够启动)。
命运里の金色 - 2005-2-19 20:29:00
还有看到这种网站,不要点就不会中了
SmallDevil - 2005-2-19 20:30:00
恩,对!
这是最有效的防病毒的了!
我是好孩子 - 2005-2-19 21:00:00
什么是QQ尾巴啊
温柔的雪崩 - 2005-2-19 21:33:00
555……,我正在为一个头疼呢,是www.400.net不小心点中的,怎么杀??试了好多办法都不行,哪位大虾帮帮忙……
JayFaye - 2005-2-19 21:37:00
| 引用: |
【温柔的雪崩的贴子】555……,我正在为一个头疼呢,是www.400.net不小心点中的,怎么杀??试了好多办法都不行,哪位大虾帮帮忙……
........................... |
你好,下面是解决办法:
先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件:
%Windows%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
——重点是那个txt文件,必须先结束Explorer.exe才能够删除它。
xd1234567 - 2005-2-19 21:57:00
怎么办?我删除了那些文件后,可是几秒钟后它们又自己出现了,在任务管理器那里结束进程,过几秒钟又在出现了~我在注册表里删了,还是有病毒啊~
xd1234567 - 2005-2-19 21:59:00
而且那个网站也上不得啊~
xd1234567 - 2005-2-19 22:03:00
呵呵,麻烦你啦,怎么进入安全模式啊?或DOS?
JayFaye - 2005-2-19 22:04:00
| 引用: |
【xd1234567的贴子】 怎么办?我删除了那些文件后,可是几秒钟后它们又自己出现了,在任务管理器那里结束进程,过几秒钟又在出现了~我在注册表里删了,还是有病毒啊~
........................... |
到安全模式下,一定要先结束掉Explorer.EXE,然后再删除。
顽固的不是那两个EXE文件是那个TXT文件。
于士心 - 2005-2-19 22:39:00
学了不少!!!
© 2000 - 2026 Rising Corp. Ltd.