QQ尾巴病毒jpg.exe的清除方法

☆ 病毒特征及感染:

病毒通过QQ发送文件的方式传播,发送的文件名极具诱惑,以<文件名>.jpg.exe的形式发送。

病毒需要接收并运行后才会感染系统,运行后会显示一个错误对话框。
病毒在注册表中添加一下信息,禁止用户打开“任务管理器”和“注册表编辑器”:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001

在注册表中添加标志信息:HKEY_LOCAL_MACHINE/SOFTWARE/TopFox
还会查找瑞星和QQ的信息,据说发现瑞星会删除瑞星的文件:
HKEY_LOCAL_MACHINE/SOFTWARE/rising/Rav

病毒自身复制到系统目录下,文件名为wmimgr.exe。

病毒还会修改一些系统程序文件和QQ程序文件,在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息,会被修改的系统文件有:
%System%/dllcache/explorer.exe
%System%/dllcache/iexplore.exe
%System%/dllcache/notepad.exe
%Windows%/explorer.exe
%Windows%/notepad.exe
%System%/notepad.exe
%ProgramFiles%/Internet Explorer/iexplore.exe
还有一些QQ程序也会被修改,比如QQGame.exe等。
注:当系统文件被修改时,系统会出现这样的对话框。

病毒释放DHelp.dll到以下目录:
%Windows%/
%System%/
%System%/wbem/
QQ目录,如%ProgramFiles%/Tencent/QQGame/
释放QQDHelp.dll到%ProgramFiles%/Tencent/目录。

添加自启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Windows Management Instrumentation"="wmimgr.exe"

病毒还会从网站上下载另一个盗密码的病毒程序到系统中:
%USERPROFILE%/Local Settings/Temp/
~!KqVo4c.exe
~H32Jvk.jpg

复制自身到系统目录,文件名为comime.exe,释放msinthk.dll。

建立自启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"mssysint"="comime.exe"

=============================================================================>>>

☆ 病毒的清理方法:

首先,把病毒的进程结束掉:

%System%/wmimgr.exe
%System%/comime.exe

然后搜索并删除病毒文件:

%System%/wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%/Local Settings/Temp/~!KqVo4c.exe
%System%/comime.exe
%System%/msinthk.dll

接下来到注册表编辑器删除病毒建立的启动项:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"

注:HKEY_LOCAL_MACHINE/SOFTWARE/TopFox,这个位置应该是病毒建立的“标志”,该位置如果存在,貌似病毒运行后不会进行过多的“动作”,且会自动退出进程。
故可以不删除。

病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%/dllcache/下的文件,所以我们先要恢复%System%/dllcache/下的系统文件。

explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到,比如安装光盘或ServicePack保存的目录,也可以从其它相同操作系统(相同SP)中复制过来。

如果是从安装盘I386目录下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通过expand命令可以解压缩它们,命令类似:

expand explorer.ex_ explorer.exe
 


得到正常的源文件后,依次进行覆盖操作。
先覆盖:

%System%/dllcache/explorer.exe
%System%/dllcache/iexplore.exe
%System%/dllcache/notepad.exe

然后再覆盖或删除:

%Windows%/explorer.exe
%Windows%/notepad.exe
%System%/notepad.exe
%ProgramFiles%/Internet Explorer/iexplore.exe

对于被修改的QQ文件,方便的话重装覆盖一下QQ即可。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值