设为首页
收藏本站
房产网
开启辅助访问
搜索
本版
帖子
用户
QQ登录
微博登录
微信登录
注册
登录
快捷导航
首页
Portal
论坛
论坛
房产网
天台最实用的房产网
本地资讯
家园
Space
相册
Album
我的贴
日志
实名认证
签到
天台新闻
商业信息
旅游
网友爆料
畅所欲言
爱心
摄影
戏曲
体育
诗词文学
情感世界
二手房源
家在天台
美容健康
二手市场
网友相约
亲子
电脑
招聘求职
休闲灌水
投资理财
打工生活
户外运动
帮忙
站务
发帖际遇
每日签到
天台之窗
»
论坛
›
天台之窗
›
手机电脑
›
QQ有病毒.菜鸟求救
精彩图文
返回列表
发布主题
QQ有病毒.菜鸟求救
[复制链接]
查看:
966
|
回复:
5
南图西街
南图西街
当前离线
积分
120
IP卡
狗仔卡
该用户从未签到
发表于 2005-5-19 11:18
|
显示全部楼层
|
阅读模式
<
>有一次朋友发过来一个文件,我接受打开后,就种下病毒了,</P>
<
>现在我的QQ有病毒,每次我跟随朋友聊天,对方总会收到什么打开看看的文件,我并没有发过的.</P>
<
>我该怎么办.</P>
<
>是不是安装瑞星杀毒就可了,目前我是网络版的</P>
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
xiang333
xiang333
当前离线
积分
170
IP卡
狗仔卡
该用户从未签到
发表于 2005-5-19 11:43
|
显示全部楼层
<
>瑞星的杀不掉的,建议你手工处理,相关操作/方法可参考: 反病毒可能需要用到的方法及操作
</P><
>%Windows%
表示系统Windows目录,即Windows(9x/XP/2003)或WINNT(NT/2000);
比如:C:\Windows\或C:\WINNT\等。</P><
>
http://www.joyie<屏蔽部分地址信息>.com
先结束Explorer.exe进程,然后再把Explorer.exe运行起来。
在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为1。
然后删除以下文件:
%Windows%\bak.exe
%System%\huangjiaju.exe
(0字节)
%System%\cc1.exe
%System%\cc2.exe
%System%\cc3.exe
%System%\whboy.exe
%System%\whboy.txt
%System%\whboy***.txt
(***为数字)
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
</P><
>说明:最近一直有变化的主要是%System%目录下xx1.exe、xx2.exe和xx3.exe这三个文件,如遇变化与上述内容不同请误死搬硬套,稍做变通可自行解决。</P><
>
http://www.mydj20<屏蔽部分地址信息>.com
在安全模式下删除:
%System%\down1.exe
%System%\down2.exe
%System%\huangjiaju.exe
(0字节)
%System%\migpwda.exe
%System%\migpwdb.exe
%System%\migpwdc.exe
(关联TXT)
删除病毒的启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windows update = %System%\migpwda.exe
病毒把TXT文件关联修改为“%System%\migpwdc.exe %1”,你可以从注册表中修改或者使用工具(如REGFIX)进行修复。
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
</P><
></P><
>http://pho<屏蔽部分地址信息>.rm510.com
到注册表编辑器里删除这些信息:
HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默认) = "winmem"
"services" = "%Windows%\services.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"services" = "%Windows%\services.exe"
重新启动计算机后删除以下文件:
%Windows%\services.exe
%Windows%\MlcrosoftSound.wav
(MlcrosoftSound.wav的第二个字母是L)
%System%\bhjx.dll
%System%\lnterapi32.dll(lnterapi32.dll的第一个字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winco.exe
%System%\winco1.exe
%System%\winco2.exe
%System%\winmem.exe
%System%\WinSocks.dll
</P><
></P><
>http://www.4O<屏蔽部分地址信息>.net、http://www.QQ.5q<屏蔽部分地址信息>.net
删除这个启动项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
QQServer = %WINDOWS%\QQ.exe
在安全模式下删除以下文件:
%WINDOWS%\QQ.exe
</P><
></P><P>
http://qq92<屏蔽部分地址信息>.com
删除这些病毒启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
csrss = %WINDOWS%\csrss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
csrss = %WINDOWS%\csrss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
csrss = %WINDOWS%\csrss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
csrss = %WINDOWS%\csrss.exe
在安全模式下删除以下文件:
%WINDOWS%\csrss.exe
(透明图标)
%System%\huangjiaju.exe
(0字节)
恢复被修改的IE起始页信息为:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
</P><P>http://mm5i<屏蔽部分地址信息>.com
在安全模式下删除以下文件:
%Windows%\csrss.exe
(透明图标)
%System%\001.exe
%System%\444.reg
%System%\chk.exe
%System%\chk20.exe
%System%\HMRes.dll
%System%\huanyuan.exe
%System%\pj.exe
%System%\pojie.exe
%System%\SimCom.dll
%System%\winpass.exe(透明图标)
%System%\Ws2help32.dll
%System%\YZDLL32.DLL
%System%\huangjiaju.exe
(0字节)
删除
%Windows%\csrss.exe的四个启动项,分别在:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
恢复被修改的Start Page(yyue.net)设置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
</P><P>http://www.3721se<屏蔽部分地址信息>.com
在安全模式下删除:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL
%System%\SP00LSV.EXE
%System%\system32.exe
并删除它们的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
slime = %System%\slime.exe
appService = %System%\Service.exe
system32 = %System%\system32.exe
slService = %System%\slserve.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
ScanRegedit = %System%\SP00LSV.EXE
</P><P></P><P>http://www.4755<屏蔽部分地址信息>.net
如果系统是Windows 9x,病毒将系统原来的Internat.exe和Rundll32.exe复制到C盘根目录,把自己以Internat.exe和Rundll32.exe文件名复制到它们原来的位置,所以在删除了病毒文件后要把C盘根目录下病毒“好心”备份的原系统文件复制回去。
在安全模式下删除:
%Windows%\Cqdll.dll
%Windows%\delttoul.exe
%Windows%\lsass.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二个字母是L)
%Windows%\rundll32.exe
%Windows%\services.exe
%Windows%\smss.exe
%Windows%\ywin32.dll
%System%\cq0dll.dll
%System%\hiddukel.dll
%System%\huangjiaju.exe
%System%\lnterapi32.dll
(lnterapi32.dll的第一个字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一个字母是L)
%System%\slsorve.exe
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是数字0,不是字母O)
%System%\winc1.exe
%System%\winc2.exe
%System%\winmem.exe
%System%\WinSocks.dll
%System%\yyd55dg.dll
%System%\yyd55dg.exe
%ProgramFiles%\explorer.exe
删除病毒建立的启动项信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
(默认) = winmem
loadMecq0 = %ProgramFiles%\explorer.exe
SysDll32_ = %Windows%\delttoul.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
slSorvice = %System%\slsorve.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
ws_dd = %Windows%\lsass.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
26 = %System%\slsorve.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ws_dd = %Windows%\lsass.exe
smss = %Windows%\smss.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
smss = %Windows%\smss.exe
还要删除:
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks]下的{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
编辑WIN.INI文件中run=
%Windows%\smss.exe为run= (Windows 9x);
在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,修改右边“run”的内容,将“%Windows%\smss.exe”删除,改为空(Windows NT/2000/XP/2003)。
编辑SYSTEM.INI文件中Shell = Explorer.exe %Windows%\lsass.exe为Shell = Explorer.exe(Windows 9x);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %Windows%\lsass.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
恢复被修改的起始页信息:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page,建议设置为“about:blank”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page,建议设置为“about:blank”
</P><P></P><P><B>http://www.18h.com/123.exe、</B><B>http://www.18h</B><B>.com/321.exe
</B>在安全模式下删除以下文件:
%Windows%\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\N0tepad.exe(关联TXT文件,金山影霸RM图标)
%Windows%\System\taskmgr.exe(金山影霸RM图标)
%Windows%\System\win.dll
%Windows%\System\windll.dll
%Windows%\System32\N0tepad.exe(关联TXT文件,金山影霸RM图标)
<B>注意</B>:N0tepad.exe中的0是数字0,不是字母O。去掉病毒的启动项信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"="%Windows%\System\taskmgr.exe"
最后还要<B>恢复TXT文件关联</B>。
更新日期:2005年4月10日
</P><P></P><P></P>
回复
支持
反对
使用道具
举报
显身卡
xiang333
xiang333
当前离线
积分
170
IP卡
狗仔卡
该用户从未签到
发表于 2005-5-19 11:45
|
显示全部楼层
<
>晕,居然乱码,http://bbs.xxjp.org/read.php?tid=35705&fpage=1</P><
>清除常见的“QQ尾巴”,你自己去看吧,手工清除最好不过</P>
回复
支持
反对
使用道具
举报
显身卡
南图西街
南图西街
当前离线
积分
120
IP卡
狗仔卡
该用户从未签到
楼主
|
发表于 2005-5-20 00:05
|
显示全部楼层
<
>注册表在哪里找,</P>
<
>要不要断开上网进行的.</P>
<
>不怎么懂,还要慢慢学</P>
<
>谢谢你</P>
回复
支持
反对
使用道具
举报
显身卡
黑衣天使
黑衣天使
当前离线
积分
6792
IP卡
狗仔卡
该用户从未签到
发表于 2005-5-21 23:54
|
显示全部楼层
QQ自动发送一些诱惑性名称的可执行文件(图标是压缩文档的图标)
打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)。
然后让Windows显示隐藏文件,找到以下文件并且将其删除:
%System%\?.exe
%System%\notepad?.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
然后打开注册表编辑器删除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值。
最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。
回复
支持
反对
使用道具
举报
显身卡
南图西街
南图西街
当前离线
积分
120
IP卡
狗仔卡
该用户从未签到
楼主
|
发表于 2005-5-25 19:47
|
显示全部楼层
<
>然后让Windows显示隐藏文件,找到以下文件并且将其删除:
%System%\?.exe
%System%\notepad?.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
</P>
<
>这一步不会做,要在哪里进行</P>
回复
支持
反对
使用道具
举报
显身卡
返回列表
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
天台之窗订阅号
天台之窗服务号
IP卡
狗仔卡
发表于 2005-5-19 11:18
>有一次朋友发过来一个文件,我接受打开后,就种下病毒了,</P>
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡
楼主
