荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: sweetman (*baby*angel), 信区: Virus
标 题: [合集]关于最近学校很多人中的QQ自动发送文件病毒
发信站: 荔园晨风BBS站 (2005年04月22日22:05:30 星期五), 站内信件
☆ 1 ──────────── 我是分割线 ─────────────────☆
发信人: zli (酸), 信区: Virus
标 题: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月16日17:40:14 星期六
找到一些文章,关于杀毒的,来源:http://bbs.db.kingsoft.com
这是一个通过QQ传播的病毒,与其它大多数通过QQ发送病毒网站地址的QQ病毒不同,染毒
计算机会自动向QQ好友发送病毒文件,而且病毒文件大小不定,发送的病毒文件名具有一
定诱惑性,诸如:
Quote:
今年过年不收礼,收礼只收白骨精(搞笑版广告).exe
啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe
病毒文件图标如图(附件)。
病毒运行后首先查找注册表中有无HKLM\Software\Classes\MSipv\MainVer值,如果有则不
进行对系统的感染,并显示如图(附件)对话框,如果没有该值,则建立HKLM\Software\C
lasses\MSipv项,然后尝试从以下注册表启动项位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
删除一些木马程序的启动项:
iexplore
IEXPLORE
mssysint
mspsint
mspbint
iexplore.exe
IEXPLORE .EXE
mssysint.exe
mspsint.exe
mspbint.exe
internat.exe
internat
同时尝试删除对应的木马程序文件。
病毒创建自身副本到系统目录下:
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
并修改EXE和TXT的文件关联:
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“ %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad %1”
注:其中“”不是单纯的一个空格,而是一个字符。病毒感染系统后也会显示如图(附
件)对话框。
再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小
。
此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ,病毒则通过注册表找到QQ.EX
E所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPla
tform.exe。
最后在注册表建立病毒标记:
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同,但不固定。
病毒的清除
由于病毒关联了EXE文件,我们建议这样处理:
首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭,然后通过
任务管理器或ProceXP等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT
文件关联,最后再找到病毒文件删除掉:
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.ex
e改名为TIMPlatform.exe即可。
注:推荐使用工具来恢复TXT文件关联。
以前大多数QQ病毒都是通过发送病毒网站地址来传播的,最近发现通过QQ直接发送病毒文
件的情况也多了起来,类似的还有伪装成XP系统文件图标的相片.exe、伪装成IE图标的int
ernet.exe病毒,大家在接收来自好友或陌生人的消息及文件时一定要提高警惕,最好先询
问一下对方是否发过该信息或文件,以免无畏中招。
最后再说说一个小病毒(木马),因为这个小病毒(木马)在这星期里也出现过几次,这
里简单提一下。
有一些用户发现C:\WINDOWS\pcclient.dll病毒杀不掉,通过查看发现该目录的exe程序启
动项并不在常见启动项下,而是加在了“策略”下的启动里,相对不容易被发现:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Run
PcShare = C:\WINDOWS\system32\psclient.exe
遇到此问题的用户可以先找到并删除该病毒文件启动项,然后重新启动计算机,重新启动
计算机后再删除相关病毒文件:C:\WINDOWS\system32\psclient.exe和C:\WINDOWS\pcclie
nt.dll
安全建议
1. 给系统安装好补丁程序。通过Windows Update安装好系统补丁程序(关键更新、安全更
新和Service Pack)
2. 给系统帐户设置足够复杂的强壮密码,建议12位以上,字母+数字+符号的组合;另外也
可以禁用/删除一些不使用的帐户
3. 经常更新杀毒软件(病毒库),条件允许的请设置为每天定时自动更新。安装并使用网
络防火墙软件,网络防火墙可以有效地阻挡自来网络的攻击以及病毒的入侵。部分盗版Win
dows用户不能正常安装补丁的,不妨通过使用网络防火墙等其它方法来做好一定的防护
4. 关闭一些不需要的服务,条件允许的可关闭一些没有必要的共享,也包括C$、D$等管理
共享。完全单机的用户也可关闭Server服务
5. 不要随便点击QQ、MSN等即时通讯聊天软件上好友发来的链接信息,也不要随便打开运
行QQ、MSN上发来的文件,那些很可能是病毒网站的地址或者是病毒文件;不要随便打开或
运行陌生、可疑的文件和程序,比如邮件中的奇怪附件等等
6. 发现可疑文件或病毒文件请及时上报,也可以直接发给我:amezhs@126.com或amezhs@y
ahoo.com.cn
[ Last edited by 海色の月 on 2005-3-13 at 23:57 ]
☆ 2 ──────────── 我是分割线 ─────────────────☆
发信人: zli (酸), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月16日17:45:44 星期六
有一个专杀工具,不过有些人反映杀不了,大家可以试一下,我本身没试过,不过这个
最新版的据说是可以杀这个病毒的
QQ病毒专杀工具XP QQKav 2005 SP1
http://www.skycn.com/soft/14305.html
查杀方法:
用QQKAV结束SYSTEM32Rundll32.exe进程,删除以下文件:
SYSTEMnotepad.exe (文件大小:217KB)
SYSTEM.EXE (文件大小:217KB)
SYSTEM32Rundll32.exe (文件大小:220KB)
最后在QQKAV“恢复设置”中恢复EXE文件关联。
特别提醒:如果您使用的QQ是珊瑚虫版本,此病毒还会把QQ安装目录下的TIMPlatform.exe
(珊瑚虫外挂程序)改名为TIMP1atform.exe,就算是杀完了,也会在下次重启QQ时重新使
病毒复活!按以上步骤查杀完毕后,需要将QQ安装目录下的TIMPlatform.exe(如果为127K
B,则为病毒文件)删除。把TIMP1atform.exe(正常文件是68KB)改名为TIMPlatform.ex
e即可。这样才能完全彻底清除,并正常使用珊瑚虫版本的显IP功能。
☆ 3 ──────────── 我是分割线 ─────────────────☆
发信人: zli (酸), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月19日13:17:18 星期二
恐怕要重装系统了
那玩意确实挺厉害的
有人用最新的金山杀了毒
结果删了几个系统文件
系统用不了了
刚刚发完文章
QQ就有个朋友说她也中了
晕
最近确实盛行
看来得再上网搜搜了
【 在 szboy (♂喜欢的女生要自己找♀) 的大作中提到: 】
: 我现在用的是学校的防毒软件,那个sp1好像真的杀不掉
: 改了,也杀了,但是还会自动生成,晕。。。。
: 【 在 zli (酸) 的大作中提到: 】
: : 一个是数字1,一个是字母l
☆ 4 ──────────── 我是分割线 ─────────────────☆
发信人: zli (酸), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月19日13:36:55 星期二
是用QQ传送的
天网也防不住
就算病毒防火墙发出警告了
也是在病毒已经开始进程之后
【 在 sweetman (*baby*angel) 的大作中提到: 】
: 还是不明白咋那么容易中毒捏?^_^。我只开一个天网哎,西西。懒得开其他的了
: 注意安全上网,其实一般都不太容易中招的。反正去陌生网站,开邮件什么的就要千万
: 注意咯
: 【 在 roic (病毒小子) 的大作中提到: 】
: : 怎么最近的QQ病毒这么猖狂的。看来得装备好防护措施了。开启病毒监控不容疏忽。
: : .................(以下省略)
☆ 5 ──────────── 我是分割线 ─────────────────☆
发信人: civetcat (ARE YOU ENJOY YOURSELF?), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月21日20:42:19 星期四
me too。最后 解决办法就是重装了系统。还换了防毒软件,不点可疑qq接收文件
现在安全了
【 在 zli (酸) 的大作中提到: 】
: 是用QQ传送的
: 天网也防不住
: 就算病毒防火墙发出警告了
: 也是在病毒已经开始进程之后
: 【 在 sweetman (*baby*angel) 的大作中提到: 】
: : 还是不明白咋那么容易中毒捏?^_^。我只开一个天网哎,西西。懒得开其他的了
: : 注意安全上网,其实一般都不太容易中招的。反正去陌生网站,开邮件什么的就要千万
: : 注意咯
☆ 6 ──────────── 我是分割线 ─────────────────☆
发信人: puzzywalker (背负着黑色的翅膀), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月21日21:21:21 星期四
工程好大……
对于一个小病毒来说,为它重装系统……太费事了吧??
【 在 civetcat (ARE YOU ENJOY YOURSELF?) 的大作中提到: 】
: me too。最后 解决办法就是重装了系统。还换了防毒软件,不点可疑qq接收文件
: 现在安全了
: 【 在 zli (酸) 的大作中提到: 】
: : 是用QQ传送的
: : 天网也防不住
: : 就算病毒防火墙发出警告了
: : 也是在病毒已经开始进程之后
☆ 7 ──────────── 我是分割线 ─────────────────☆
发信人: zli (酸), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月21日21:22:04 星期四
那不是一个小病毒
对于不熟悉电脑的人来说
重装系统会方便得多
【 在 puzzywalker (背负着黑色的翅膀) 的大作中提到: 】
: 工程好大……
: 对于一个小病毒来说,为它重装系统……太费事了吧??
: 【 在 civetcat (ARE YOU ENJOY YOURSELF?) 的大作中提到: 】
: : me too。最后 解决办法就是重装了系统。还换了防毒软件,不点可疑qq接收文件
: : 现在安全了
☆ 8 ──────────── 我是分割线 ─────────────────☆
发信人: civetcat (ARE YOU ENJOY YOURSELF?), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月21日22:53:42 星期四
重装很快的。。。
只要你软件和文件的备粉做的好,安装系统很快的
【 在 zli (酸) 的大作中提到: 】
: 那不是一个小病毒
: 对于不熟悉电脑的人来说
: 重装系统会方便得多
: 【 在 puzzywalker (背负着黑色的翅膀) 的大作中提到: 】
: : 工程好大……
: : 对于一个小病毒来说,为它重装系统……太费事了吧??
☆ 9 ──────────── 我是分割线 ─────────────────☆
发信人: tencent (麻花腾), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月21日23:01:43 星期四
ghost一下更快了。不过要占空间的。我是值不得。
【 在 civetcat (ARE YOU ENJOY YOURSELF?) 的大作中提到: 】
: 重装很快的。。。
: 只要你软件和文件的备粉做的好,安装系统很快的
: 【 在 zli (酸) 的大作中提到: 】
: : 那不是一个小病毒
: : 对于不熟悉电脑的人来说
: : 重装系统会方便得多
☆ 10 ──────────── 我是分割线 ─────────────────☆
发信人: zli (酸), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月21日23:03:32 星期四
不会啦
才几G而已
对于现在的大硬盘来说
不算什么
可怜我还是15G~~
【 在 tencent (麻花腾) 的大作中提到: 】
: ghost一下更快了。不过要占空间的。我是值不得。
: 【 在 civetcat (ARE YOU ENJOY YOURSELF?) 的大作中提到: 】
: : 重装很快的。。。
: : 只要你软件和文件的备粉做的好,安装系统很快的
☆ 11 ──────────── 我是分割线 ─────────────────☆
发信人: szboy (♂喜欢的女生要自己找♀), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月22日11:37:47 星期五
杀不掉,每次开机自动开启 QQKav 2005 SP1 这个软件,可以防止
但是比较贱的是QQKav 2005 SP1会把主页修改为 http://www.jsing.net/index1.htm
好多大波妹妹。。。。
【 在 civetcat (ARE YOU ENJOY YOURSELF?) 的大作中提到: 】
: me too。最后 解决办法就是重装了系统。还换了防毒软件,不点可疑qq接收文件
: 现在安全了
: 【 在 zli (酸) 的大作中提到: 】
: : 是用QQ传送的
: : 天网也防不住
: : 就算病毒防火墙发出警告了
: : 也是在病毒已经开始进程之后
☆ 12 ──────────── 我是分割线 ─────────────────☆
发信人: hellsolaris (qq), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: Fri Apr 22 12:13:41 2005
那个通过QQ自动发送文件,文件图标是WinRAR图标的那个版本信息里写着HanSoft myRun
ner的病毒。
这个QQ病毒在以前的综述里也有提到过,最近一段时间里感染的用户挺多的,这里再说明一
下清楚步骤。目前该病毒还有几个变种,较之前的版本略微有一些变化,不过清除的方法还
是基本一样的。
首先结束掉病毒的进程:
%Windows%\System\RUNDLL32.EXE(Windows 2000/XP系统)
%Windows%\System32\RUNDLL32.EXE(Windows 9x系统)
然后恢复被修改的EXE和TXT文件关联,要注意,这一步很关键,文件关联要是恢复好了,剩
下的处理起来就简单了。在恢复文件关联的时候要时刻注意病毒文件是不是又被运行起来,
你可以先把恢复工具从EXE的扩展名改为COM或其它可执行文件的扩展名后再运行,否则如果
运行了EXE文件,病毒会被激活得到运行的。如果病毒又再次出现在进程中,你就再把它的
进程结束掉吧,一定要保证恢复文件关联的时候没有病毒进程,否则恢复不了被病毒修改的
文件关联。
说明:说到这里大家可能看不明白了,也有人不太会操作,为了方便部分用户处理恢复文件
关联的步骤,我写了个BAT批处理,可以帮助大家恢复文件关联。使用很简单,直接运行BAT
即可。我已经把它放在 几个常用的实用小工具 里面了。
好了,文件关联恢复后就去找病毒文件吧,找到就删除:
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
还有QQ目录下的TIMPlatform.exe,你可以看到它的图标也是和病毒一样的WinRAR图标,对
了,这个就是被病毒替换的,真正的TIMPlatform.exe被改名为了TIMP1atform.exe。知道该
怎么做了吧,删除TIMPlatform.exe,把TIMP1atform.exe改名为TIMPlatform.exe。
☆ 13 ──────────── 我是分割线 ─────────────────☆
发信人: zli (神经是不是神), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月22日20:16:52 星期五
晕,原来那个都很多人看不懂
何况这个~~~
【 在 hellsolaris (qq) 的大作中提到: 】
: 那个通过QQ自动发送文件,文件图标是WinRAR图标的那个版本信息里写着HanSoft myR
: ner的病毒。
: 这个QQ病毒在以前的综述里也有提到过,最近一段时间里感染的用户挺多的,这里再说明
: 下清楚步骤。目前该病毒还有几个变种,较之前的版本略微有一些变化,不过清除的方法
: 是基本一样的。
:
: 首先结束掉病毒的进程:
: %Windows%\System\RUNDLL32.EXE(Windows 2000/XP系统)
: %Windows%\System32\RUNDLL32.EXE(Windows 9x系统)
: 然后恢复被修改的EXE和TXT文件关联,要注意,这一步很关键,文件关联要是恢复好了,
: .................(以下省略)
☆ 14 ──────────── 我是分割线 ─────────────────☆
发信人: hellsolaris (qq), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: Fri Apr 22 20:53:11 2005
哪里看不懂?^_^
【 在 zli 的大作中提到: 】
: 晕,原来那个都很多人看不懂
: 何况这个~~~
: 【 在 hellsolaris (qq) 的大作中提到: 】
: : 那个通过QQ自动发送文件,文件图标是WinRAR图标的那个版本信息里写着HanSoft..
: : ner的病毒。
: : 这个QQ病毒在以前的综述里也有提到过,最近一段时间里感染的用户挺多的,这里再..
: : 下清楚步骤。目前该病毒还有几个变种,较之前的版本略微有一些变化,不过清除的..
: : 是基本一样的。
: :
: : 首先结束掉病毒的进程:
: : %Windows%\System\RUNDLL32.EXE(Windows 2000/XP系统)
: : %Windows%\System32\RUNDLL32.EXE(Windows 9x系统)
: : 然后恢复被修改的EXE和TXT文件关联,要注意,这一步很关键,文件关联要是恢复好..
: : .................(以下省略)
☆ 15 ──────────── 我是分割线 ─────────────────☆
发信人: zli (神经是不是神), 信区: Virus
标 题: Re: 关于最近学校很多人中的QQ自动发送文件病毒
时 间: 2005年04月22日20:55:04 星期五
呵呵,我只觉得比我发的那篇难懂一些啊
不过别人会哪里看不懂我就不知道了
截止自昨天晚上,宿舍周围90%的机中了毒
QQ好友中VIP组,70%要发那个给我
ft~~~~巨寒~~~~
【 在 hellsolaris (qq) 的大作中提到: 】
: 哪里看不懂?^_^
:
:
: 【 在 zli 的大作中提到: 】
: : 晕,原来那个都很多人看不懂
: : 何况这个~~~
: : 【 在 hellsolaris (qq) 的大作中提到: 】
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店