|
 | 作者: abctm [abctm]
 版主 |
登录 |
平时我很少去看类示的东西,但因为是很要好的朋友所以也觉得挺希奇的然后就点进进入了,进入的画面如下: 点击进入后会自动提示下载名为Book.exe的程序。 我立即点击"打开"运行了程序,运行后并没有想象中的电子图书出现,而IE又自动打开了两个网页。我马上意识到肯定是一个病毒程序了。 之后我点击QQ上的朋友联系,但QQ马上自动发送上面的那段代码。(我晕)而且每当有好友给我发信息系统都会自动回复那段话。(不幸的是我的好几个朋友也由于相信我运行了它).结果招来一堆朋友的臭骂。 中招了当然就得修复了,以前也不是没有碰到过这样的事情(IE,启动而被改是常有的事)。可到瑞星,金山下载QQ专用删除工具都无果,使用超级兔子也不行。修改了注册个后重启机器毛病依旧。后来使用了下面的办法将其彻底删除。 -------------------------------------------------------------------------------- 找到下列文件[假定你系统装在C:][我的系统是Win xp]{建议你在C:盘查找 NotePed.exe 注释: NotePad.exe才是Window文本编辑器} C:\windows\system\noteped.exe C:\windows\system\Taskmgr.exe C:\Windows\noteped.exe C:\Windwos\system32\noteped.exe 删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉 注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器" 然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run" 找到"Taskmgr" 删除 -------------------------------------------------------------------------------- 如果你是菜鸟那你先找到那几个文件,然后再按下面的图例操作: 1.在任务栏上点击鼠标右键,选择任务管理器  2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。  3.点击开始-运行,输入Regedit进入注册表   4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。  删除后重启计算机,《缘》QQ病毒宣布彻底删除。 另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。 【金山】 一、 木马病毒:书虫(Win32.Troj.QQmsgBook.b)★★ “书虫”(Troj.QQmsgBook.b)利用QQ进行传播的木马。获得QQ窗口上的用户信息,按照模板填写消息并发送出去。消息格式如下: XXX,你好呀!很久没见你上线了!今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧,跟你的QQ网名一样,也叫“XXX”。不会就是你写的吧?挺有才的嘛,呵呵!写得不错,下载看看吧!点击下面这个地址可以下载这本书:http://www.book.cn.gg/。从而通过QQ好友进行传播。请及时打IE补丁,并升级金山毒霸查杀该病毒。 病毒名称:Troj.QQmsgBook.b 中文名称:书虫 威胁级别:2C 病毒类型: 木马 病毒别名: 极品毛毛虫 受影响系统: Win9x/Win2000/WinXP/Windows Server 2003 ・ 传播方式:搜索QQ消息窗口,伺机发送带病毒网址的信息给QQ好友。 ・ 技术特点:(点击查看详情) A、将病毒自身拷贝到 %System%\rund1l32.exe,注意该文件名不同于系统文件 rundll32.exe B、在Win9x系统下, 在Win.ini文件中的 [windows] 节添加一行 run = %System%\rund1l32.exe 以便该病毒在每次重启 Windows 时执行。 C、 在WinNT/Win2k/Win2003系统下,在注册表的主键: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 中修改如下键值: "run" = "%System%\rund1l32.exe" 以便该病毒在每次重启 Windows 时执行。 D、在被感染机器上,会向QQ上的好友发送以下信息 听说是华仔的妹妹~长得还不错http://my。cnyys。com/bytes/andy。Jpg 该地址中的jpg文件实际上是一个网页,定向到另外一个图片,同时打开另外一个页面,最终将下载病毒文件,并通过脚本使之在系统上执行。 解决方案: A、金山毒霸已经于3月31日对该病毒进行了处理,请升级最新版可完全查该病毒; B、在收取邮件和在线聊天时不要轻易打开陌生人传来的文件,如果有必要打开,请使用最新病毒 库的反病毒软件检测后再打开;在没有升级IE最新补丁的情况下,不要轻易点击好友发来的网 址; C、 强烈推荐各位网络用户将浏览器“Internet Explorer”升级到6.0,并打上最新补丁,可防止 病毒的自动感染。以下是IE的最新补丁地址: http://www.microsoft.com/technet/security/bulletin/ms04-004.mspx D、手工解决方案: 首先,若系统为WinXP,则请先关闭系统还原功能; (毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能) 对于系统是Windows9x: 步骤一,删除病毒主程序 请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为 C:\windows\),分别输入以下命令,以便删除病毒程序: C:\windows\>del taskmgr.exe 然后转到WINDOWS系统目录(默认的安装目录为C:\windows\system),输入以下命令,以 便删除病毒程序: C:\windows\system>del noteped.exe 完毕后,取出系统软盘,重新引导到Windows系统。 如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。 步骤二,清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter; 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run 在右边的面板中, 找到并删除如下项目: "WinDir" = "%WinDir%\taskmgr.exe" 恢复TXT文件关联 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_CLASSES_ROOT>txtfile>shell>open>command "默认" = "Notepad.exe %1" 使用IE的设置将主页恢复 关闭注册表编辑器。 对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever: 步骤一,使用进程序管里器结束病毒进程 右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在 任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“taskmgr.exe和 noteped.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭 “Windows任务管理器”; 步骤二,查找并删除病毒程序 通过“我的电脑”或“资源管理器”, 进入系统目录(Winnt或windows), 找到文件“notepad.exe ”,将它删除,注意清空回收站内的内容; 步骤三,清除病毒在注册表里添加的项 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter; 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run 在右边的面板中, 找到并删除如下项目: "WinDir" = "%WinDir%\taskmgr.exe" 恢复TXT文件关联 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_CLASSES_ROOT>txtfile>shell>open>command "默认" = "Notepad.exe %1" 使用IE的设置将主页恢复 关闭注册表编辑器. --------------------------------- |
| 地主 发表时间: 04-04-16 13:43 |
 | 回复: ysfilone [ysfilone]  论坛用户 |
登录 |
|
我的 C:\windows\system\ 下没有Taskmgr.exe 啊 只是在system32下有个TASKMGR.exe 但是在注册表里面有system/taskmgr 为什么在system下看不到???? [此贴被 远山之城(ysfilone) 在 04月16日18时37分 编辑过] |
| B1层 发表时间: 04-04-16 18:32 |
| 回复: ysfilone [ysfilone] 论坛用户 |
登录 |
|
OK 搞定了 |
| B2层 发表时间: 04-04-16 19:19 |
| 回复: abctm [abctm] 版主 |
登录 |
大家有中的没有 |
| B3层 发表时间: 04-04-17 12:01 |
 | 回复: homlay [homlay] 论坛用户 |
登录 |
|
我也收到了!但我看到是exe文件!就没下载了! |
| B4层 发表时间: 04-04-17 19:55 |
 | 回复: jt20021390 [jt20021390]  论坛用户 |
登录 |
|
我按照这个方法做了,但是每次启动后,又会在进程中发现TASKMGR.EXE东东,就是该病毒的运行了,,,^晕~~~~可能的原因是什么??? |
| B5层 发表时间: 04-04-22 23:27 |
| 回复: jt20021390 [jt20021390] 论坛用户 |
登录 |
|
恢复TXT文件关联 在左边的面板中, 双击(按箭头顺序查找,找到后双击): HKEY_CLASSES_ROOT>txtfile>shell>open>command "默认" = "Notepad.exe %1" 使用IE的设置将主页恢复 我以为上面的这步最关键!原因是很容易被忽视! |
| B6层 发表时间: 04-04-23 00:07 |
 | 回复: zhengzheng [zhengzheng]  论坛用户 |
登录 |
|
大哥。这种方法不行呀,我在进程中删除不了可是再打开一看它还在。 我在win32中也删除不了,刚刚删除回收站中的时它又出现了。 怎么办? 在注册表中我也添加了ie的的设置,还是不行?? |
| B7层 发表时间: 04-04-27 00:25 |
 | 回复: hokezyw [hokezyw]  论坛用户 |
登录 |
|
楼上的:删掉跟进程同名的一个文件就行了(要在安全模式或纯DOS下删) [此贴被 剑气萧心(hokezyw) 在 04月28日15时01分 编辑过] |
| B8层 发表时间: 04-04-28 15:00 |
 | 回复: jb324 [jb324] 论坛用户 |
登录 |
|
可是我的任务管理器里只有一个taskmgr.exe啊?! |
| B9层 发表时间: 05-08-14 16:05 |
| 回复: jb324 [jb324] 论坛用户 |
登录 |
|
安全模式下也没有找到同名的taskmgr.exe, noteped.exe也没找到   |
| B10层 发表时间: 05-08-14 16:07 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 彻底删除QQ《缘》病毒