 |
| 等 级:资深长老 |
| 经 验 值:6004 |
| 魅 力 值:1493 |
| 龙 币:8021 |
| 积 分:5554.4 |
| 注册日期:2001-12-03 |
| |
|
|
|
杀掉QQ3344
朋友中了QQ3344,老给我发广告的消息,一怒之下,决定杀掉这个病毒,并广告天下知,让这种病毒无处藏身……
QQ3344病毒的现象是,打开QQ自动给别人的QQ上发请访问 该网址不再展示。
QQ3344病毒有很多变异,所以在不同的机器上,表现不同,但原理都是在你的注册表启动项中写入启动qq3344的启动进程,控制你的QQ。
杀qq3344实例,操作系统是 win2000 professional,不同的操作系统文件名或注册表项会有不同。
打开资源管理器,工具->文件夹选项
查看,把“隐藏受保护的操作系统文件”复选框去掉
清空 Internet临时文件夹中所有内容(打开IE->工具->Internet选项->Internet 临时文件 处点“删除文件”)。
可疑的文件有
olfsnt40.exe
widows.exe
windows.exe
hkcmd.exe
interneter.exe
internet.exe
intrenet.exe
intarner.exe
先用“进程查看器”,如果有这几个进程的话,选把进程关闭。
搜索硬盘,找到匹配上面所列文件名的文件,删除。(记得文件夹选项中要设置为可以查看所有文件)
检查你的注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun项,如果有上面列出的exe名的话,删之。
还要检查HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices
还有HKEY_CURRENT_USERSoftwareMicrosoftWindows?NTCurrentVersionWindowsload
除了这几处外,应该还有注册exe文件操作的注册表项值
最好全局搜索注册表,只要有上述文件名的注册表项,删之。
还要注意检查你的“程序”->“启动”把可疑的启动项去掉。
搜索硬盘,只要文件名中有 “qq3344”的文件,删之。
搜索注册表,只要有 “qq3344”的注册表项,删之。
。
这个病毒有些狡猾,会变化文件名来射避,但原理上就是把注册表及“程序”中可疑的启动项册除,就能去掉这个病毒。
不止是对付qq3344病毒,对付同类似的木马,用这种办法,都能手工清楚。
最后,去 该网址不再展示,更新你的 windows和IE吧……
另一种说法"
没那么麻烦,手动删除方法:
先结束掉internet.exe widow.exe
删除d:WINNTsystem32interneter.exe (注意不是internet)
d:WINNTsystem32Widows.exe (注意不是windows)
再从注册表中删掉
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"internet"="C:\WIN2K\system32\internet.exe"
和
[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
"load"="C:\WIN2K\system32\windows.exe"
这样它就不发作了,要完全清除用kv2003或瑞星杀一下就好了
第三种
这两天老是看到mop上有这个病毒的受害者,解决方案都已经相当完善了,不过多数都漏了一点,偶补充一下吧:
---------------------
这个病毒是利用iframe漏洞进行自动下载运行的。如果不想再次感染上这个病毒,需要更新IE,用Windows Update就行了。
漏洞分析,以下代码取自www.dj3344.com,和这个网站的病毒是基本上一样的:
参看,那个首页里面的一段代码:
< iframe src=http://www.dj3344.com/dj3344/dj3344.mht ...... >
起作用的实际是这个dj3344.mht文件,也就是一个.eml格式的文件,
再下载这个mht文件之后,可以在其中看到如下代码:
--====B====
Content-Type: audio/x-wav;
name="dj3344.exe"
Content-Transfer-Encoding: base64
Content-ID:
这句话Content-Type: audio/x-wav;表明下面的那个dj3344.exe是页面的背景音乐wav,这就是IE的漏洞,它会不判断类型就直接打开。修补了漏洞之后这个exe才不会再有自动执行的机会。
仔细看了一下解答,发现还漏了一点,IE的首页多数情况下也被修改成了这个带毒的网站,要改回来
|
|
--
经济一穷二白,性格反三复四,爱好五颜六色,人生信条乱七八糟,以上所写八九不离十 |
|
|
2003-05-13 12:40:44
