瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 QQ尾巴清除办法--2005/2/18更新【推荐】

1   1  /  1  页   跳转

QQ尾巴清除办法--2005/2/18更新【推荐】

QQ尾巴清除办法--2005/2/18更新【推荐】

最近这些日子,有好多朋友加我的QQ,问我有关病毒的问题,和QQ的问题!

我帮他们解决了问题,可是还有好多朋友有问题,所以我建了个我的留言本!
http://www.leafzi.com/book

大家可以到我的留言本里给我留言,我会当天为大家解决!

这里声明:我不是抢卡卡社区的人,而是真的想帮助有问题的朋友!

谢谢大家对我的支持!
你的问题就是我的动力!

我的留言本地址:http://www.leafzi.com/book
注:不须注册!
当天帮你解决问题!

很多朋友都中了qq尾巴,我收集了一些资料,希望能帮大家解决问题。
http://adslmvac.webspace4free.biz/qvremove.rar

http://www.18hi.com删除方法--*新*
http://www.18hi.com/123.exe是个老木马的变种。手工查杀方法如下:
1、打开任务管理器进程,结束taskmgr.exe进程(一个是任务管理器进程,结束后,任务管理器关闭。另一个是木马进程,结束后,任务管理器不会关闭。)
2、删除以下文件:
C:\windows\system\taskmgr
C:\windows\N0TEPAD
C:\windows\system\N0TEPAD
C:\windows\system32\ N0TEPAD
C:\windows\system\windll.dll
3、打开注册表编辑器,找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除键值taskmgr






  Quote:
http://dvd.qq92.com删除方法

先终止下面的进程
C:\WINDOWS\intrenat.exe
C:\DOCUME~1\lwb\LOCALS~1\Temp\smss.exe
C:\WINDOWS\System32\winsym.exe
C:\WINDOWS\system32\winpass.exe

(关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。其中smss.exe与系统进程同名,无法终止的话,建议使用第三方进程管理软件,比如HijackThis自带的进程管理器来终止其进程<下面的叙述以1.98.2版为准>——
打开HijackThis——config——Misc Tools——Open process manager——选中C:\DOCUME~1\lwb\LOCALS~1\Temp\smss.exe——点“kill process”)

请关闭所有IE窗口和文件夹窗口,重新使用HijackThis扫描一次,选中下面建议修复的项目,让HijackThis修复,修复前请允许HijackThis保留备份。
O4 - HKLM\..\Run: [smss] C:\WINDOWS\smss.exe
O4 - HKLM\..\RunServices: [smss] C:\WINDOWS\smss.exe
O4 - HKCU\..\Run: [smss] C:\WINDOWS\smss.exe
O4 - HKCU\..\RunServices: [smss] C:\WINDOWS\smss.exe

修复后,清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件,把“删除所有脱机内容”选上)。

重新启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”,最后找到如下文件并删除(如果有的话)。如果担心误删正常文件可以先把它压缩保存。
C:\WINDOWS\intrenat.exe
C:\WINDOWS\System32\winsym.exe
C:\WINDOWS\system32\winpass.exe
C:\WINDOWS\smss.exe






  Quote:
http://www.joyiex.com删除方法
看看啊.我最近照的照片~才扫描到网上的.看看我是不是变了样?h**p://www.joyiex.com(为防止网友误点,所以使用*代替字母)
大家一看到这个信息就头疼是不是?
看着它不停的发信息,残害网友,却无能为力。

好了,废话不说了,下面我们来解开他的丑恶嘴脸。

这个病毒是利用了一个内存中的程序监控注册表,以及电脑硬盘里的病毒文件,一旦被删除,马上重新生成一个。

这个病毒的shell是explorer
再c:\windows\system32\  (xp)  c:\winnt\system32\  (2k) 下生成一个叫
msapi.exe以及msapi.dll的文件。

如果我们直接删除.exe,它马上就会再生成一个。如果我们删除.dll,系统不让我们删

既然内存的程序再监控这些文件,我们可以试着先把内存的程序干掉。

你可以用文本文件,重命名为msapi.exe然后覆盖原来的病毒体。
覆盖好后,重启电脑。你的记事本应该会弹出来(因为毕竟是文本文件嘛)。
好了,现在可以手动删除msapi.dll了。

但是那些注册表值怎么办呢? 这个病毒太缺德,把大家的注册表都锁了,
不过没关系,为了大家方便,我写了一个小程序可以干掉它们
点此下载
上面的搞定以后,大家就可以用这个小程序修复注册表了。
由于是vb.net写的,所以需要.net framework的支持,才可以运行。

这是本人第一个程序,如果有什么问题,欢迎大家提出。为安全起见,建议先对此程序进行查毒,再运行。


最后编辑2007-02-04 11:15:51
分享到:
gototop
 

Quote:
www.mydj2005.com删除方法
mydj2005专杀:下载1

移除方法


  Quote:
开始--运行 --输入" CMD "
在新开的命令提示符输入:" TASKKILL/IMexplorer.exe " (结束explorer进程)
接着在命令提示符号输入删除msapi.exe msapi.dll 这两个文件。
执行系统目录下的explorer.exe
开始--运行-- regedit
改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe C:\\WINNT\\system32\\msapi.exe"为"Shell"="Explorer.exe""
重启 。。



在安全模式下删除以下文件:

%system%\down1.exe
%system%\down2.exe
%system%\huangjiaju.exe
%system%\mdj2005.exe
%system%\Microsoft.exe
%system%\system32.exe
%system%\windows.exe

注:%System%默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).


删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce中的病毒启动项,恢复TXT文件关联。






  Quote:
QQ速配(Worm.QQMsg.Onlyy)

    警惕程度★★★☆.

    蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。

    病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改。

删除方法
安全模式下删除%windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)

注:%System%文件夹默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).



如果这个方法真的可以干掉qq尾巴,希望大家跟贴。也希望大家告诉你们的朋友,让更多人不再受到病毒的干扰。


如果大家有qq问题,可以在这里提出,我们一起研究解决。请不要在下面开新贴了,如果看到了,一律删除。为保持本版整洁性,请间量。
gototop
 

谢谢大家支持!
gototop
 

【回复“raphal_x”的帖子】
那你帮我和版主说说!
呵呵~~``
gototop
 

恩,同意!
gototop
 

楼上的,哥们!
喝高了吧?
gototop
 

恩,对!
这是最有效的防病毒的了!
gototop
 

【回复“xd1234567”的帖子】
开机时按F8
gototop
 

不会的!
gototop
 

顶!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT