论坛: 病毒专区 标题: 帮我啊。!QQ中毒了。 复制本贴地址    
作者: Tim [gdtim991]    论坛用户   登录
我的QQ中毒了,某天看过一个网友给我的网站后就得了一中病毒。该病毒会把一个网址的连接名字自动粘贴到我发送信息的对话筐中,随即偏发送出去了。用金山毒霸查不出来。 
他修改了几个系统文件,在注册表里创建一个键值,虽然找到这个键值并把他给删了,但是一刷新后有出现了一个新的键值,并且名字改掉了。但是他的核心文件所在的地方没有改变。    哪位高手指点一下我啊


[此贴被 Tim(gdtim991) 在 8月26日14时28分 编辑过]

地主 发表时间: 8/26 14:6

回复: morziguang [morziguang]   论坛用户   登录
一样,我是没一点办法了。
我的网友都被我坑惨了)?

B1层 发表时间: 08/26 20:43

回复: yjfwindows [yjfwindows]   论坛用户   登录
不用了呀.....呵.....

B2层 发表时间: 08/26 20:59

回复: borland [borland]   论坛用户   登录
down...那个目录下有它的程序文件删了后。

再在没毒的机子上找个explorer.exe文件覆盖原文件。

再改注册表,  和启动项目,

重启一下就没事了。

B3层 发表时间: 08/26 22:07

回复: Tim [gdtim991]   论坛用户   登录
能不能说清楚一点啊。拜托!

B4层 发表时间: 08/27 12:21

回复: nethief [nethief]   论坛用户   登录
谁有这个病毒的原代码 
给我看看 好吗!

B5层 发表时间: 08/27 13:36

回复: windteam [windteam]   论坛用户   登录
有没有代码给我看看啊
谢谢拉


B6层 发表时间: 08/28 11:37

回复: Tim [gdtim991]   论坛用户   登录
没有啊。让我给删掉了。不好意思!

B7层 发表时间: 08/29 12:05

回复: durex [durex111]   论坛用户   登录
��自8月25日以来,在短短几天之内,金山反病毒急处理中心连续截获“爱情森林”病毒及其变种。这一系列病毒利用QQ软件的聊天机制向用户发送恶意网页链接,诱导用户点击以达到快速传播自己的目的。有的变种还会盗取用户的QQ密码。 
���� 
����“爱情森林”的早期版本仅仅是一个经过UPX压缩的木马程序,运行后会到站点http://orchid.diy.163.com/下载程序并执行,进行其它的破坏活动。其后的变种立刻就具备了向QQ的消息窗口发送诸如“某个网页链接 + 你快去看看”等信息,诱使用户点击这个网页的功能。一旦用户点击这些恶意网页,病毒就会被下载并运行。病毒还会利用QQ的好友名单数据不断传播,进而引起连锁反应。到后来的变种病毒更是通过修改用户常用的文本文件关联来执行自身,甚至试图窃取用户QQ的密码发送到指定的电子信箱。 
���� 
����最初这些恶意网页利用JAVA EXPLOIT漏洞,不经用户允许即可以自动下载病毒并执行,修改用户的注册表及IE配置。后来的变种进一步利用了著名的Iframe漏洞(曾被尼姆达,求职信等病毒利用)来自动运行。 
���� 
����据金山公司毒霸事业部技术总监陈飞舟介绍,这一病毒具有木马和蠕虫的双重特性,并能通过即时通讯工具-QQ传播,体现了未来病毒发展的一种趋势。目前,使用QQ软件的注册人数已经超过5000多万,从“中国黑客”利用QQ发送简单的文字消息到“爱情森林”利用QQ进行欺骗传播来看,通过QQ等即时通讯工具进行传播的病毒将会越来越多。同时,一个病毒在如此短的时间内出现数个变种,极有可能该病毒的部分源码已经在网上悄悄流传。因此,该病毒还可能出现破坏性更大的变种。 
���� 
����据悉,金山毒霸最新的病毒库已经可以防杀这些病毒。用户可到金山反病毒资讯网www.duba.net将病毒库升级到8月28日版本以防范这一系列病毒。针对这一病毒系列,金山公司联合太平洋电脑网同时还提供了免费的专杀工具提供下载。太平洋电脑网在此提醒广大QQ用户注意不要随意打开陌生的网页链接消息,以免受病毒的攻击。http://www8.pconline.com.cn/download/download.phtml?id=96871



B8层 发表时间: 08/29 16:14

回复: netghost [netghost]   论坛用户   登录
病毒名称:Trojan.Sckiss.178752 
中文病毒名:爱情森林 
病毒类型:木马程序 
感染长度:178752字节 
危害级别:中 
传播速度:慢 

病毒特征: 

该病毒一旦运行后,会: 

(1)复制自己的两个拷贝到系统目录下(通常为windows\system),分别命名为rundll.exe和sysedit32.exe。 
   
  (2)修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加键值intarnet="%windowssystem%\rundll.exe",使木马程序可以随开机自动运行(其中%windowssystem%为Windows的系统目录)。 

(3)修改注册表,修改HKEY_CLASSES_ROOT\txtfile\shell\open\command\的默认键值为%windowssystem%\sysedit32.exe,使得当用户打开txt文件时木马程序获得运行机会。 

(4)该木马会通过QQ程序向其它的QQ用户发送http://sckiss.yeah.net 你快去看看”的消息,诱导用户浏览含有恶意代码的网页。 

(5)该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱,有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .\mima.txt”。 

  手工清除该木马的方法如下: 

(1)打开任务管理器,关掉名为RUNDLL和SYSEDIT32的进程。 

(2)找到系统文件夹(Win9x通常为Windows\system,WinNt通常为WinNt\system32),删除掉名为RUNDLL.exe和名为sysedit32.exe的文件,大小为1781752字节。 

(3)打开注册表编辑器,删除掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为intarnet=%windowssystem%\rundll.exe"的键(其中%windowssystem%为Windows的系统文件夹)。修改HKEY_CLASSES_ROOT\txtfile\shell\open\command的默认键值为Notepad %1。 
  
(4)若根目录下存在文件setup.txt或mima.txt,将其删除。   

爱情森林变种1瑞星可查杀) 



B9层 发表时间: 09/01 02:14

回复: Tim [gdtim991]   论坛用户   登录
太好了。非常的谢谢。!

B10层 发表时间: 09/02 18:08

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号