【转贴】“武汉男生2005”的清除方法
从去年10月份以来,qq尾巴又开始在网上泛滥,很多qq用户都被这些具有诱惑性的网址所欺骗,都不同程度的中过这类木马,其中以两类木马比较典型,一类就是"武汉男生2005"木马(以mydj2005.com和joyiex.com为例),另外一类就是"冰狐浪子"网页木马,由于"冰狐浪子"网页木马是一种特殊格式的chm文件,chm文件中可以含带各类木马,所以无固定的清除方式,需根据实际情况来解决。
小陌今天提供的是,对于"武汉男生2005"木马的通用清除方法。看过小陌以前提供的关于这个木马的解决方案的朋友,已经知道,该木马会释放dll来注入explorer进程,并会在注册表中HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
增加"Explorer.exe C:\%system%\whboy.exe",从最新的版本来看,释放的dll会被改成txt扩展名,以欺骗用户,并会修改注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
SHOWALL\CheckedValue,将DWORD:1 (0x1)改为DWORD:0 (0),为的是防止用户修改"文件夹选项"中的"取消系统隐藏属性",来找到这些文件。
根据以往的经验,小陌在此提供通用的手工清除方法:
1.ctrl+alt+del,打开任务管理器,终止explorer进程,然后在"文件"、"新任务"中输入explorer。
2.打开注册表编辑器(开始,运行,输入"regedit"),定位到
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
SHOWALL\CheckedValue,将DWORD: 0 (0)改为DWORD: 1 (0x1)
3.打开"文件夹选项","查看",选择"显示所有文件和文件夹"、将"隐藏受保护的操作系统文件"前的勾去掉!
4.在%windows%、%system%下查找相应的文件(文件名可能会有改变,须根据实际情况),一般的文件名为bak.exe、ap1.exe、whboy.exe、whboy.txt、ap2.exe(破解还原精灵的程序),找到后删除它们!
5.打开注册表编辑器,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
将"Explorer.exe C:\WINNT\system32\whboy.exe"键值修改为"Explorer.exe"
注:%windows%为c:/windows(win9x/XP/2003)或c:/winnt(win2000);
%system%为c:/windows/system(win9x)或c:/windows/system32(XP/2003)或c:/winnt/system32(win2000)
希望广大qq用户在使用qq聊天过程中,一定要提高警惕,防范这类qq尾巴,阻断它们的传播途径。碰到这类陌生的网址或收到陌生、可疑的文件,一方面应当不收,一方面也可以问问qq上的好友,是否是他们所发的,确认文件的来源
