防毒技巧: 对qq自动传文件病毒逆向后的一点成果

小心Myrunner文件- -

                                      

      2005.3.11开始,国内陆续有qq用户收到一些非常具有诱惑力的文件,文件名可能为"好漂亮的动画哦,可以打开看看吧.exe、一个对你目前工作很有帮助的东东.exe、你一定需要的工作资料(网上找到的).exe、接啊,快接啊,推荐给你看看.exe、QQTalk(QQ聊天秘籍,给你看看吧).exe、网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe、啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe、笑死我了,你看过这个FLASH吗.exe、今年过年不收礼,收礼只收白骨精(搞笑版广告).exe、超级MM,超级FLASH,请笑纳.exe"

       小陌在此提醒广大用户,千万不要运行这类文件,经过鉴定、分析,这些文件含有恶意代码,会不断向qq好友发送这类文件,国内的反病毒厂商已于昨天对病毒库进行了升级。广大网友请升级手中的防病毒软件来防范!

       毒霸提供的分析报告:http://vi.db.kingsoft.com/virus.php?fid=37386

       小陌提供手工清除方法:


1. 打开任务管理器(ctrl+alt+del),终止Rundll32.exe进程。

2. 查找"regedit.exe"文件,查到后,将其扩展名更改为com,然后双击运行。

3. 定位注册表到HKEY_CLASSES_ROOT/exefile/shell/open/command,将值修改为"%1" %*

    定位到HKEY_CLASSES_ROOT/txtfile/shell/open/command,将值修改为%SystemRoot%/system32/NOTEPAD.EXE %1

4. 删除%System%/.exe、%System%/notepad.exe、%Windows%/System/RUNDLL32.EXE(Windows 2000/XP)、%Windows%/System32/RUNDLL32.EXE(Windows 9x)

注:%windows%为c:/windows(win9x/XP/2003)或c:/winnt(win2000);
%system%为c:/windows/system(win9x)或c:/windows/system32(XP/2003)或c:/winnt/system32(win2000)

5. 到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。(注意数字1和英文字母l的区别)

6. 将"regedit.com"改回"regedit.exe"。

附:如果网友不会修改注册表的话,建议下载注册表修复工具(如:RegFix),先将扩展名修改为com,再运行!

阅读更多
个人分类: 其它
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭