瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 ★★★★★ 打 造 手 工 清 除 Q Q 尾 巴 最 强 帖 ( 全 )

1   1  /  1  页   跳转

★★★★★ 打 造 手 工 清 除 Q Q 尾 巴 最 强 帖 ( 全 )

★★★★★ 打 造 手 工 清 除 Q Q 尾 巴 最 强 帖 ( 全 )

流行的QQ尾巴手工查杀方法(全)

1.http://www.18hi.com删除方法
在安全模式下删除以下文件:
%Windows%\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\taskmgr.exe(金山影霸RM图标)
%Windows%\System\win.dll
%Windows%\System\windll.dll
%Windows%\System32\N0tepad.exe(关联TXT文件,金山影霸RM图标)
注意:N0tepad.exe中的0是数字0,不是字母O。

去掉病毒的启动项信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"="%Windows%\System\taskmgr.exe"

最后还要恢复TXT文件关联。

2.http://dvd.qq92.com删除方法

用任务管理器结束smss.exe(一个是系统进程无法结束,一个是病毒可以结束),结束可能存在的intrenat.exe winsym.exe winpass.exe。
然后删除以下文件:
%WINDIR%\intrenat.exe
%WINDIR%\smss.exe
%System%\winsym.exe
%System%\winpass.exe
删除注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
            HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
            HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
            HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe

3.http://www.joyiex.com删除方法
先结束Explorer.exe进程,然后再把Explorer.exe运行起来。

在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为1。

然后删除以下文件:
%Windows%\bak.exe
%System%\huangjiaju.exe(0字节)
%System%\cc1.exe
%System%\cc2.exe
%System%\cc3.exe
%System%\whboy.exe
%System%\whboy.txt
%System%\whboy***.txt(***为数字)

编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
一直有变化的主要是%System%目录下xx1.exe、xx2.exe和xx3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决。

4.http://www.mydj2005.com删除方法
在安全模式下删除:
%System%\down1.exe
%System%\down2.exe
%System%\huangjiaju.exe(0字节)
%System%\migpwda.exe
%System%\migpwdb.exe
%System%\migpwdc.exe(关联TXT)

删除病毒的启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windows update = %System%\migpwda.exe

病毒把TXT文件关联修改为“%System%\migpwdc.exe %1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。

编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。


5.QQ速配
蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。

病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改。

删除方法
安全模式下删除%windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)

注:%System%文件夹默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).

6.http://www.91tg.net/rm.asp?.rm删除方法
删除病毒对注册表所作的更改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF6}
然后重新启动删除以下文件:
%WINDIR%\services.exe
%system%\browscue.dll
%system%\member.exe
%System%\winsocks.dll
还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe

7.http://www.400.net删除方法
先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件:
%Windows%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。——重点是那个txt文件,必须先结束Explorer.exe才能够删除它。

8.http://www.joyiex.com删除方法
先用任务管理器结束Explorer.exe进程,接着删除以下文件(可以通过WinRAR的主程序删除文件):
%System%\msapi.exe
%System%\msapi.dll
此病毒已经禁用注册表编辑器,大家可以在网上搜索解锁办法或者使用注册表修复工具可以轻松解锁。

其他的几个是武汉男生2005:
安全模式下,先用任务管理器结束Explorer.exe进程,接着删除以下文件:
%Windir%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。

9.http://www.QQ.5qt.net删除方法
在安全模式下删除:
%System%\logonuit.exe
%System%\mstinitt.exe(关联TXT文件)
%System%\windows.exe
删除病毒加在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下的启动项:windows update = %System%\logonuit.exe
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\windows.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\windows.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
还要恢复TXT关联。

10.http://photo.rm510.com/pic.asp?删除方法
到注册表编辑器里删除这些信息:
HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}

[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}

HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默认) = "winmem"
"services" = "%Windows%\services.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"services" = "%Windows%\services.exe"

重新启动计算机后删除以下文件:
%Windows%\services.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
%System%\bhjx.dll
%System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winco.exe
%System%\winco1.exe
%System%\winco2.exe
%System%\winmem.exe
%System%\WinSocks.dll


本帖被评分 1 次
最后编辑2007-08-30 09:05:08
分享到:
gototop
 

11.QQ自动发送一些诱惑性名称的可执行文件(图标是压缩文档的图标)
打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)。
然后让Windows显示隐藏文件,找到以下文件并且将其删除:
%System%\.exe
%System%\notepad.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
然后打开注册表编辑器删除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值。
最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。

12.武汉男生变种
症状:
通过发送以下信息诱惑用户点击
http://www.4OO.net 帮忙看看这个网站打不打的开。上次看了个网站不错,去看看吧-- http://www.4OO.net
刚刚在这个网站下载了个免费的QQ秀 http://www.QQ.5qt.net,
你看好看吗?我现在有好多Q币了!!!你要不要?要的话赶快去
http://vip.6to23.com/sedvd/FreeQB.htm 免费申请!迟了就没啦!!快~这个网站送QQ币了,http://vip.6to23.com/sedvd/FreeQB.htm  一个QQ号可以申请28个QQ秀的衣服 好像这个网站的电影不错~~ http://178dx.com/vod/   
这个视频聊天室人真多,http://r123.net/liao.htm 我们也去这个聊天室群体视频聊天好不好这个网站送QQ币了,http://vip.6to23.com/sedvd/FreeQB.htm  一个号码最多可以申请28个QQ币 http://4OO.net/lj/lj.exe/2EoX2S
清除:
删除这个启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
QQServer = %WINDOWS%\QQ.exe

在安全模式下删除以下文件:
%WINDOWS%\QQ.exe


13.http://www.3721see.com/myfriend/index.htm:删除方法
在安全模式下删除:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL
%System%\SP00LSV.EXE
%System%\system32.exe

并删除它们的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
slime = %System%\slime.exe
appService = %System%\Service.exe
system32 = %System%\system32.exe
slService = %System%\slserve.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
ScanRegedit = %System%\SP00LSV.EXE

14.http://www.4755.net删除方法

如果系统是Windows 9x,病毒将系统原来的Internat.exe和Rundll32.exe复制到C盘根目录,把自己以Internat.exe和Rundll32.exe文件名复制到它们原来的位置,所以在删除了病毒文件后要把C盘根目录下病毒“好心”备份的原系统文件复制回去。

在安全模式下删除:
%Windows%\Cqdll.dll
%Windows%\delttoul.exe
%Windows%\lsass.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
%Windows%\rundll32.exe
%Windows%\services.exe
%Windows%\smss.exe
%Windows%\ywin32.dll
%System%\cq0dll.dll
%System%\hiddukel.dll
%System%\huangjiaju.exe
%System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\slsorve.exe
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winc1.exe
%System%\winc2.exe
%System%\winmem.exe
%System%\WinSocks.dll
%System%\yyd55dg.dll
%System%\yyd55dg.exe
%ProgramFiles%\explorer.exe

删除病毒建立的启动项信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
(默认) = winmem
loadMecq0 = %ProgramFiles%\explorer.exe
SysDll32_ = %Windows%\delttoul.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
slSorvice = %System%\slsorve.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
ws_dd = %Windows%\lsass.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
26 = %System%\slsorve.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ws_dd = %Windows%\lsass.exe
smss = %Windows%\smss.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
smss = %Windows%\smss.exe

还要删除:
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks]下的{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

编辑WIN.INI文件中run=%Windows%\smss.exe为run= (Windows 9x);
在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,修改右边“run”的内容,将“%Windows%\smss.exe”删除,改为空(Windows NT/2000/XP/2003)。

编辑SYSTEM.INI文件中Shell = Explorer.exe %Windows%\lsass.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %Windows%\lsass.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。

恢复被修改的起始页信息:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page,建议设置为“about:blank”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page,建议设置为“about:blank”

15.http://mm5i.com删除方法

在安全模式下删除以下文件:
%Windows%\csrss.exe(透明图标)
%System%\001.exe
%System%\444.reg
%System%\chk.exe
%System%\chk20.exe
%System%\HMRes.dll
%System%\huanyuan.exe
%System%\pj.exe
%System%\pojie.exe
%System%\SimCom.dll
%System%\winpass.exe(透明图标)
%System%\Ws2help32.dll
%System%\YZDLL32.DLL
%System%\huangjiaju.exe(0字节)

删除%Windows%\csrss.exe的四个启动项,分别在:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

恢复被修改的Start Page(yyue.net)设置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"

16.http://***www.sou99.com 和 http://www.qq46.com/home?:
删除注册表中这几个:
HKLM\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKCU\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe" 
HKLM\software\microsoft\windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"   
HKCU\software\Microsoft\Windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
然后重新启动计算机,删除%windir%下的csrss.exe即可。

17.http://www.vmqq.com:

在安全模式下删除以下文件:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL(注意是数字0不是字母o)
%System%\SP00LSV.EXE(注意是数字0不是字母o)
%System%\system32.exe
删除它们的启动项及NTdhcp.exe的启动项即可。

感谢JayFaye&海色の月
gototop
 

引用:
【windy0618的贴子】删掉那两个文件后,所有的exe文件都不能运行,连注册表编辑器也不能用,请问有什么办法不用注册表编辑器也能修改注册表吗?
...........................


RegFix 是一个免费的注册表关键键值修复工具。本软件开发目的是为了解决恶意代码或计算机病毒给注册表带来的非正常修改,造成用户无法正常操作操作系统的问题。本程序采用VC++开发,能够稳定的运行于 Windows 98/98SE/ME/2000/XP/Server 2003,而且本程序采用单EXE结构,不需要安装,是一个绿色软件。
软件基本功能:
* 文件关联:修复 .EXE .TXT .REG .BAT .COM .SCR .PIF 文件类型系统默认的文件关联。
* IE 控制类:解决 IE 菜单和选项无法使用、IE 标题错误、IE首页被篡改、IE无法下载或无法指定保存位置和 IE 搜索页被篡改、IE工具栏不能正常使用等问题。
* Windows Shell 控制类:解除如同无法显示“文件”菜单、禁止使用“网上邻居”、禁止使用系统属性、无法使用“运行”、无法关机、无法使用注册表编辑器的等问题。
* 启动组导出:输出注册表中启动项的内容到文本文件。
* 补丁检测:检测系统是否安装了重要更新程序。
* 共享关闭:关闭NT架构系统默认的共享。
* 证书屏蔽:禁止某些证书的安装弹出窗口出现。
* 全自动修复:根据检测到的信息自动对注册表关键键值进行修复。
简体中文用户手册 :http://218.6.241.210:8080/home/KZTechs/chs/regfix/manual.chm
下载:http://219.238.213.59/attachment.php?aid=1133
gototop
 

引用:
【JayFaye的贴子】很久没看到楼主了
...........................


很久没看到JayFaye了
gototop
 

送你个工具.

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-4-26 19:38:32
描述:

gototop
 

引用:
【joshua的贴子】现在有QQ病毒专杀啊
你们说的那些病毒都能杀

...........................


not all...
gototop
 

引用:
【ceres的贴子】求助~~~~~~~>_<~我遇到了和35楼一样的问题,也下了楼主推荐的那个软件,可是病毒查出来了但好像没有杀掉,再一次打开这个软件同样还会查出这个病毒,每次打开IE就跳出www.19ku.com的网页(在使用空白页情况下),希望高手指点,小女子感激不尽!
...........................


去反浏览器劫持论坛上传Hijackthis日志.
gototop
 

引用:
【尐葉的贴子】11.QQ自动发送一些诱惑性名称的可执行文件(图标是压缩文档的图标)
打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)。
然后让Windows显示隐藏文件,找到以下文件并且将其删除:
%System%\.exe
%System%\notepad.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
然后打开注册表编辑器删除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值。
最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。




我也是中了这个病毒,但是我按照楼主的方法做:打开任务管理器。  结果它说:任务管理器以被管理员停用 请问有解决方法吗?
...........................



在记事本中输入以下内容

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM]

"DisableTaskMgr"=DWORD:00000000

将此文件保存为REG为扩展名的文件,运行即可。
gototop
 

这是因为KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
下的DWORD值“DisableTaskMgr”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。
1.在记事本中输入以下内容

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM]

"DisableTaskMgr"=DWORD:00000000

最后一行打完后一定不要忘记敲回车。 

将此文件保存为REG为扩展名的文件(如UnLock.Reg),运行即可。
gototop
 

请 上 传 样 本 .
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT