Virus 版 (精华区)

发信人: SwordLea (飞刀李), 信区: Virus
标  题: QQ尾巴清除方法 zz
发信站: 哈工大紫丁香 (Tue Sep 21 10:04:07 2004), 转信

　　病毒特征：病毒会修改ie的默认主页为利用此病毒做宣传的网站；
同时把木马程序植入系统目录下，并修改注册表中的启动项，使病毒获
得开机时被加载的机会。如果系统中正在运行qq，病毒会随机向qq的好
友发送网站的地址信息，为网站做广告宣传。而病毒程序就在这个网页
上潜伏。
　　
　　方法一：金山毒霸升级最新病毒苦。(www.duba.net)更新到最新版。
他应该是狩猎者病毒的变种。病毒代码是利用internet explorer 的iframe
漏洞进行传播的。（我已实践试过）。据说毒霸已经截获最新狩猎者变
种病毒。一般是潜伏潜藏于以下三个网站：... (版主略去)
　　其实只要大家及时对操作系统打补丁，及时对杀毒软件进行升级，
就可以了。
　　
　　方法二：下载专杀工具。
　　
　　方法三：手工解决：
　　1、运行注册表编辑器（regedit）
　　2 、停掉所有名为svh0st.exe（注意：零和字母o 的区别）、scanregw.exe
和internets.ex e的进程。
　　3、修改hkey_classes_root\comfile\shell\open\command和
           hkey_classes_root\exefile\shell\open\command
       为"%1" %* ，删掉hkey_local_machine\software\microsoft\window
s\currentversion\run\scanreg 项目。
　　4 、删掉%windir%\system32\svh0st.exe、scanregw.exe和internets.exe
文件。
　　
　　附注：
　　1 、上面的%windir%代表你的windows 的安装目录，一般为c:windows。
　　2 、如果是在98me系统的话，上面的system32应为system。
　　
　　（附病毒行为：
　　（1 ）运行后会在%windir%system32目录下生成svh0st.exe、scanregw.exe
和internets .exe这三个拷贝。
　　（2）修改注册表
　　在注册表中添加:
　　hkey_local_machine\software\microsoft\windows\currentversion\run\scanreg的项目
　　，内容为：%windir%\system32\scanregw.exe。
　　修改了exe 文件和com 文件的默认打开方式：将hkey_classes_root\comfile\shell\open\command的内容修改为了%windir%\system32\internets.exe %1 %* 。将hkey_classes_r
oot\exefile\shell\open\command的内容修改为%windir%\system32\svh0st.exe%1 %* 。
　　由于木马设计有缺陷，使得exe 和com 的打开方式被破坏，一些程序无法运行。）
　　
　　trojan.qqpassrecoder清除程序
　　
　　
　　病毒简介：
　　运行后会造成一些exe 和com 文件无法被打开，使用qq发送消息的
时候会自动添加“http://xxxx.xxx.net 快去看看, 你感兴趣的”这句
话，由于木马没有判断重复加载进程的问题，所以会造成反复加载木马
程序而消耗系统资源。
　　
　　最新版本可以直接清除内存中的病毒，不需要在“安全模式”下杀
毒了。

--
    I came, I saw, I conquered ! — Caesar


※ 修改:·SwordLea 于 Sep 21 10:07:12 修改本文·[FROM: 202.118.246.*]
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.246.*]