找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1785|回复: 3

QQ尾巴清除办法

追梦 发表于 2007-1-9 16:14:44 | 显示全部楼层 |阅读模式 来自 中国上海

马上注册,结交更多好友,享用更多功能。

您需要 登录 才可以下载或查看,没有帐号?注册

x
很多朋友都中了qq尾巴,我收集了一些资料,希望能帮大家解决问题。
http://adslmvac.webspace4free.biz/qvremove.rar

http://www.18hi.com删除方法--*新*
http://www.18hi.com/123.exe是个老木马的变种。手工查杀方法如下:
1、打开任务管理器进程,结束taskmgr.exe进程(一个是任务管理器进程,结束后,任务管理器关闭。另一个是木马进程,结束后,任务管理器不会关闭。)
2、删除以下文件:
C:\windows\system\taskmgr
C:\windows\N0TEPAD
C:\windows\system\N0TEPAD
C:\windows\system32\ N0TEPAD
C:\windows\system\windll.dll
3、打开注册表编辑器,找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除键值taskmgr






Quote:
http://dvd.qq92.com删除方法

先终止下面的进程
C:\WINDOWS\intrenat.exe
C:\DOCUME~1\lwb\LOCALS~1\Temp\smss.exe
C:\WINDOWS\System32\winsym.exe
C:\WINDOWS\system32\winpass.exe

(关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。其中smss.exe与系统进程同名,无法终止的话,建议使用第三方进程管理软件,比如HijackThis自带的进程管理器来终止其进程<下面的叙述以1.98.2版为准>??
打开HijackThis??config??Misc Tools??Open process manager??选中C:\DOCUME~1\lwb\LOCALS~1\Temp\smss.exe??点“kill process”)

请关闭所有IE窗口和文件夹窗口,重新使用HijackThis扫描一次,选中下面建议修复的项目,让HijackThis修复,修复前请允许HijackThis保留备份。
O4 - HKLM\..\Run: [smss] C:\WINDOWS\smss.exe
O4 - HKLM\..\RunServices: [smss] C:\WINDOWS\smss.exe
O4 - HKCU\..\Run: [smss] C:\WINDOWS\smss.exe
O4 - HKCU\..\RunServices: [smss] C:\WINDOWS\smss.exe

修复后,清空IE临时文件(打开IE浏览器??工具??internet选项??删除文件,把“删除所有脱机内容”选上)。

重新启动到安全模式,在文件夹选项中,显示隐藏文件和取消“隐藏受保护的操作系统文件”,最后找到如下文件并删除(如果有的话)。如果担心误删正常文件可以先把它压缩保存。
C:\WINDOWS\intrenat.exe
C:\WINDOWS\System32\winsym.exe
C:\WINDOWS\system32\winpass.exe
C:\WINDOWS\smss.exe






Quote:
http://www.joyiex.com删除方法
看看啊.我最近照的照片~才扫描到网上的.看看我是不是变了样?h**p://www.joyiex.com(为防止网友误点,所以使用*代替字母)
大家一看到这个信息就头疼是不是?
看着它不停的发信息,残害网友,却无能为力。

好了,废话不说了,下面我们来解开他的丑恶嘴脸。

这个病毒是利用了一个内存中的程序监控注册表,以及电脑硬盘里的病毒文件,一旦被删除,马上重新生成一个。

这个病毒的shell是explorer
再c:\windows\system32\ (xp) c:\winnt\system32\ (2k) 下生成一个叫
msapi.exe以及msapi.dll的文件。

如果我们直接删除.exe,它马上就会再生成一个。如果我们删除.dll,系统不让我们删

既然内存的程序再监控这些文件,我们可以试着先把内存的程序干掉。

你可以用文本文件,重命名为msapi.exe然后覆盖原来的病毒体。
覆盖好后,重启电脑。你的记事本应该会弹出来(因为毕竟是文本文件嘛)。
好了,现在可以手动删除msapi.dll了。

但是那些注册表值怎么办呢? 这个病毒太缺德,把大家的注册表都锁了,
不过没关系,为了大家方便,我写了一个小程序可以干掉它们
点此下载
上面的搞定以后,大家就可以用这个小程序修复注册表了。
由于是vb.net写的,所以需要.net framework的支持,才可以运行。

Quote:
www.mydj2005.com删除方法
mydj2005专杀:下载1

移除方法


Quote:
开始--运行 --输入" CMD "
在新开的命令提示符输入:" TASKKILL/IMexplorer.exe " (结束explorer进程)
接着在命令提示符号输入删除msapi.exe msapi.dll 这两个文件。
执行系统目录下的explorer.exe
开始--运行-- regedit
改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe C:\\WINNT\\system32\\msapi.exe"为"Shell"="Explorer.exe""
重启 。。



在安全模式下删除以下文件:

%system%\down1.exe
%system%\down2.exe
%system%\huangjiaju.exe
%system%\mdj2005.exe
%system%\Microsoft.exe
%system%\system32.exe
%system%\windows.exe

注:%System%默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).


删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce中的病毒启动项,恢复TXT文件关联。






Quote:
QQ速配(Worm.QQMsg.Onlyy)

警惕程度★★★☆.

蠕虫病毒,通过QQ传播,依赖系统:WIN9X/NT/2000/XP.该病毒用Delphi语言编写,运行后把自己复制到系统"system32"目录下,病毒文件名为"Explorer.exe",伪装成系统文件,修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式,用户打开这两种文件时会先运行病毒。

病毒运行后会驻留内存,查找并结束防火墙和任务管理器,防止病毒被结束。查找QQ聊天窗口,自动发送消息,"哈哈。来看看这个。用QQ昵称为自己速配情侣,看看和你配的叫什么http://***快看看",用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件,发送的QQ消息内容会随之更改。

删除方法
安全模式下删除%windows%/smss.exe文件
搜索注册表,所有smss相关的项一概删除
再修改startpage(就是ie默认的首页)

注:%System%文件夹默认为:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).



如果这个方法真的可以干掉qq尾巴,希望大家跟贴。也希望大家告诉你们的朋友,让更多人不再受到病毒的干扰。
糊涂神 发表于 2007-1-9 17:12:59 | 显示全部楼层 来自 中国山东日照
谢谢提供 这个病毒确实很烦人啊
ying03922 发表于 2007-1-9 17:22:45 | 显示全部楼层 来自 中国浙江杭州
好复杂啊
yanjunwang008 发表于 2007-1-9 17:41:52 | 显示全部楼层 来自 中国江苏无锡
最好是写个小程序,打开就能一次清除干净!上面的方法复杂了,一般人难操作。都是病毒惹的祸。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表