QQ网址信息包含"go3.icpcn.com/mm.exe

QQ自动发送如下信息:
腾讯最新消息:为了广大朋友对腾讯公司的支持,现在推出最新,最安全的QQ挂机软件,挂5个小时可以抵上线8小时,不用开机很快成为太阳不再是梦,请大家下载,登录QQ挂机,就有机会免费获取50个QB详情请看:病毒网址信息

病毒运行后生成文件:
%system%\services.exe
%windows%\IsUninst.exe
%windows%\IsUn0804.exe
%windows%\IsUn0404.exe
%system32%\AUTOEXEC.BAT
%system32%\BOOTEX.LOG
打开方式为"%system%\services.exe"
修改系统屏幕保护程序:
%system32%\logon.scr
%system32%\scrnsave.scr
%system32%\ss3dfo.scr
%system32%\ssbezier.scr
%system32%\ssflwbox.scr
%system32%\ssmarque.scr
%system32%\ssmaze.scr
%system32%\ssmyst.scr
%system32%\sspipes.scr
%system32%\ssstars.scr
%system32%\sstext3d.scr
%system32%\频道屏幕保护程序.scr
修改Real的升级程序:
%SystemRoot%\Program Files\Common Files\Real\Update_OB\realsched.exe
将屏幕保护程序设为"%system32%\sstext3d.scr",启动时间为60秒.
HKCR\SOFTWARE
HKCU\Before\\info
保存病毒信息
HKCR\txtfile\shell\open\command\\
"%system%\services.exe" "%1"
修改文本Txt文件关联
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run\\internet
"%system%\services.exe"
病毒自启动项

清除:

1,首先用第三方进程管理软件结束病毒进程(如Process Explorer,IceSword等):
%system%\services.exe

2,用Regfix等注册表修复软件修复文本Txt文件关联,或手工修复:
修改注册表
HKCR\txtfile\shell\open\command\\为
"%SystemRoot%\system32\NOTEPAD.EXE %1"(不包括引号)

3,删除病毒注册表添加信息:
HKCR\SOFTWARE
HKCU\Before\\info
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run\\internet
"%system%\services.exe"

4,删除如下病毒文件:
%system%\services.exe
%windows%\IsUninst.exe
%windows%\IsUn0804.exe
%windows%\IsUn0404.exe
%system32%\AUTOEXEC.BAT
%system32%\BOOTEX.LOG
%system32%\logon.scr
%system32%\scrnsave.scr
%system32%\ss3dfo.scr
%system32%\ssbezier.scr
%system32%\ssflwbox.scr
%system32%\ssmarque.scr
%system32%\ssmaze.scr
%system32%\ssmyst.scr
%system32%\sspipes.scr
%system32%\ssstars.scr
%system32%\sstext3d.scr
%system32%\频道屏幕保护程序.scr
%SystemRoot%\Program Files\Common Files\Real\Update_OB\realsched.exe

删除病毒文件后如果需要:
系统屏保或Real文件可重新安装.

最后,不中毒就不用清除,这个病毒的传播方式还是老掉牙的QQ发送网址信息,希望大家不要点击陌生信息,做到就不可能中毒.
最后编辑2005-08-27 22:18:39