近来,一些别有用心的人利用QQ传播木马病毒,俗称“QQ尾巴”。该病毒会偷偷藏在用户的系统中,发作时会寻找QQ窗口,给在线上的QQ好友发送诸如“快去这看看,里面有蛮好的东西--”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。
昨天我中毒了,用KV2004、金山专杀工具、瑞星专杀工具和瑞星2005都没办法杀掉这个病毒,在注册表里也没看见什么可疑的启动程序,但用瑞星2005和金山专杀工具可以发现这个病毒。顺藤摸瓜让我在C:/windows/ystem32下发现2个文件,分别是msapi.dll和msapi.exe。那就删除吧。靠!!不是吧?这么吊,删除了又会有一个复制回来,根本就不会删掉。没办法,只好重启进安全模式试试了。
晕!!!!!天啊 竟然还是这样,在和其他系统比较后发现就是这两个文件在捣鬼,根本就删除不了。看来内存中的程序是以dll形态运行着,如果发现.exe不存在就生成一个新的,于是又到注册表里搜索msapi,终于发现在winlogon 的子键shell里有,呵呵总算找到它了,下面把它删除了,但是提示不能删除,看来内存中的程序一直监控着这个键值,它是下次系统启动病毒正确执行的关键。
没办法了用好的文件覆盖看看了。于是偶将System32/sol.exe(纸牌啊,呵呵)复制出来一份,改名为msapi.exe然后复制到System32下覆盖掉那个病毒文件,重启计算机后,进入桌面弹出来纸牌,瑞星报告没有发现病毒!哈哈,基本搞定,到System32下删除那两个文件,再删除HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon下的shell删除重启一切恢复平静,整个世界清净了,该死的QQ病毒已经不复存在。
后上网查找,发现是叫“武汉男生”的病毒,利用微软的漏洞,哎,上帝啊,让我对盖茨和他的MS说什么好呢......
昨天我中毒了,用KV2004、金山专杀工具、瑞星专杀工具和瑞星2005都没办法杀掉这个病毒,在注册表里也没看见什么可疑的启动程序,但用瑞星2005和金山专杀工具可以发现这个病毒。顺藤摸瓜让我在C:/windows/ystem32下发现2个文件,分别是msapi.dll和msapi.exe。那就删除吧。靠!!不是吧?这么吊,删除了又会有一个复制回来,根本就不会删掉。没办法,只好重启进安全模式试试了。
晕!!!!!天啊 竟然还是这样,在和其他系统比较后发现就是这两个文件在捣鬼,根本就删除不了。看来内存中的程序是以dll形态运行着,如果发现.exe不存在就生成一个新的,于是又到注册表里搜索msapi,终于发现在winlogon 的子键shell里有,呵呵总算找到它了,下面把它删除了,但是提示不能删除,看来内存中的程序一直监控着这个键值,它是下次系统启动病毒正确执行的关键。
没办法了用好的文件覆盖看看了。于是偶将System32/sol.exe(纸牌啊,呵呵)复制出来一份,改名为msapi.exe然后复制到System32下覆盖掉那个病毒文件,重启计算机后,进入桌面弹出来纸牌,瑞星报告没有发现病毒!哈哈,基本搞定,到System32下删除那两个文件,再删除HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon下的shell删除重启一切恢复平静,整个世界清净了,该死的QQ病毒已经不复存在。
后上网查找,发现是叫“武汉男生”的病毒,利用微软的漏洞,哎,上帝啊,让我对盖茨和他的MS说什么好呢......
3271
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
