自动弹出发送文件QQ病毒的清除方法

By | 2005 年 06 月 23 日

一个恶心的QQ病毒,聊天的时候老是弹出发送文件的请求,而且文件名大多比较具有眼球效应:

好漂亮的动画哦,可以打开看看吧.exe、一个对你目前工作很有帮助的东东.exe、你一定需要的工作资料(网上找到的).exe、接啊,快接啊,推荐给你看看.exe、QQTalk(QQ聊天秘籍,给你看看吧).exe、网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe、啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe、笑死我了,你看过这个FLASH吗.exe、今年过年不收礼,收礼只收白骨精(搞笑版广告).exe、超级MM,超级FLASH,请笑纳.exe

今天远程协助帮同学把这个毒清了,好累。不过QQ的安全问题似乎依然有很长的一段路要走啊。把这段杀毒方法留着,给同样困惑的人吧。


http://219.238.213.59/viewthread.php?tid=4596

病毒运行后首先查找注册表中有无HKLM\Software\Classes\MSipv\MainVer值,如果有则不进行对系统的感染,并显示如图(附件)对话框,如果没有该值,则建立HKLM\Software\Classes\MSipv项,然后尝试从以下注册表启动项位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
删除一些木马程序的启动项:
iexplore
IEXPLORE
mssysint
mspsint
mspbint
iexplore.exe
IEXPLORE .EXE
mssysint.exe
mspsint.exe
mspbint.exe
internat.exe
internat
同时尝试删除对应的木马程序文件。

病毒创建自身副本到系统目录下:
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)

并修改EXE和TXT的文件关联:
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“ %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad %1”

注:其中“”不是单纯的一个空格,而是一个字符。病毒感染系统后也会显示如图(附件)对话框。
再注:病毒文件大小不固定,从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外,病毒还会检查被感染系统是否安装QQ,如果安装有QQ,病毒则通过注册表找到QQ.EXE所在路径,把正常的TIMPlatform.exe改名为TIMP1atform.exe,将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记:
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同,但不固定。

病毒的清除
由于病毒关联了EXE文件,我们建议这样处理:
首先打开注册表编辑器或用来恢复文件关联的工具(如RegFix),先不要关闭,然后通过任务管理器或ProceXP等进程管理工具结束病毒Rundll32.exe的进程,接下来恢复EXE和TXT文件关联,最后再找到病毒文件删除掉:
%System%\.exe
%System%\notepad.exe
%Windows%\System\RUNDLL32.EXE(如果是Windows 2000/XP)
%Windows%\System32\RUNDLL32.EXE(如果是Windows 9x)
还有一步,到QQ安装目录下,把病毒生成的TIMPlatform.exe删除,然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注:推荐使用工具来恢复TXT文件关联。

5 thoughts on “自动弹出发送文件QQ病毒的清除方法

  1. Pal Post author

    不敢不敢啊,这些内容都是剽窃的啊~不过因为用这个方法帮别人把毒给杀了,所以觉得还有保存的价值,所以就贴出来了啊!~

    Reply

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注