手工查殺QQ病毒(比較全了)
- 發布于:2021-07-27
- 共 256 人圍觀
1.http://www.18hi.com刪除方法
在安全模式下刪除以下文件:
%Windows%/N0tepad.exe(關聯TXT文件,金山影霸RM圖標)
%Windows%/System/N0tepad.exe(關聯TXT文件,金山影霸RM圖標)_
%Windows%/System/taskmgr.exe(金山影霸RM圖標)
%Windows%/System/win.dll
%Windows%/System/windll.dll
%Windows%/System32/N0tepad.exe(關聯TXT文件,金山影霸RM圖標)
注意:N0tepad.exe中的0是數字0,不是字母O。
去掉病毒的啟動項信息:
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
"taskmgr"="%Windows%/System/taskmgr.exe
最后還要恢復TXT文件關聯。
2.http://dvd.qq92.com刪除方法
用任務管理器結束smss.exe(一個是系統進程無法結束,一個是病毒可以結束),結束可能存在的intrenat.exe winsym.exe winpass.exe。
然后刪除以下文件:
%WINDIR%/intrenat.exe
%WINDIR%/smss.exe
%System%/winsym.exe
%System%/winpass.exe
刪除注冊表中HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run: %WINDIR%/smss.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices: %WINDIR%/smss.exe
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run: %WINDIR%/smss.exe
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/RunServices: %WINDIR%/smss.exe
3.http://www.joyiex.com刪除方法
先結束Explorer.exe進程,然后再把Explorer.exe運行起來。
在注冊表編輯器里修改HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL下Checkedvalue的值為1。
然后刪除以下文件:
%Windows%/bak.exe
%System%/huangjiaju.exe(0字節)
%System%/cc1.exe
%System%/cc2.exe
%System%/cc3.exe
%System%/whboy.exe
%System%/whboy.txt
%System%/whboy***.txt(***為數字)
?《我是網管》論壇 -- 菜鳥?大蝦?這里就是你的地盤!
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%/whboy.exe為Shell Explorer.exe(Windows 9x);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%/whboy.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
一直有變化的主要是%System%目錄下xx1.exe、xx2.exe和xx3.exe這三個文件,如遇變化與上述內容不同請誤死搬硬套,稍做變通可自行解決
4.http://www.mydj2005.com刪除方法
在安全模式下刪除:
%System%/down1.exe
%System%/down2.exe
%System%/huangjiaju.exe(0字節)
%System%/migpwda.exe
%System%/migpwdb.exe
%System%/migpwdc.exe(關聯TXT)
刪除病毒的啟動項:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce
windows update = %System%/migpwda.exe/
病毒把TXT文件關聯修改為“%System%/migpwdc.exe %1”,你可以從注冊表中修改或者使用工具(如REGFIX)進行修復。
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%/migpwdb.exe為Shell = Explorer.exe(Windows 9x)
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%/migpwdb.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
蠕蟲病毒,通過QQ傳播,依賴系統:WIN9X/NT/2000/XP.該病毒用Delphi語言編寫,運行后把自己復制到系統"system32"目錄下,病毒文件名為"Explorer.exe",偽裝成系統文件,修改注冊表實現開機自啟動。病毒會修改ini和txt文件的關聯方式,用戶打開這兩種文件時會先運行病毒。
病毒運行后會駐留內存,查找并結束防火墻和任務管理器,防止病毒被結束。查找QQ聊天窗口,自動發送消息,"哈哈。來看看這個。用QQ昵稱為自己速配情侶,看看和你配的叫什么http://***快看看",用戶點擊該網址后會中毒。病毒還會從網上下載新的病毒文件,發送的QQ消息內容會隨之更改
刪除方法
安全模式下刪除%windows%/smss.exe文件
搜索注冊表,所有smss相關的項一概刪除
再修改startpage(就是ie默認的首頁)
注:%System%文件夾默認為:
C:/Windows/System (Windows 95/98/Me),
C:/Winnt/System32 (Windows NT/2000),
或 C:/Windows/System32 (Windows XP).
6.http://www.91tg.net/rm.asp?.rm刪除方法
刪除病毒對注冊表所作的更改
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run: member.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run: services.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices: member.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices: services.exe
HKEY_CLASSES_ROOT/CLSID/{9F352324-0FC5-41b4-99E2-E0757AFFFEF6}.
然后重新啟動刪除以下文件:
%WINDIR%/services.exe
%system%/browscue.dll
%system%/member.exe
%System%/winsocks.dll
還有桌面上和系統盤根目錄下和%Documents and Settings%/“用戶名”下可能生成的a1.exe , a2.exe , a3.exe
7.http://www.400.net刪除方法
先用任務管理器結束Explorer.exe進程,然后重新運行Explorer.exe,接著刪除以下文件:
%Windows%/bak.exe
%System%/whboy.exe
[%System%/whboy.txt 和 %System%/whboy***.txt(***為數字)]——這兩個文件如果有的話
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%/whboy.exe為Shell = Explorer.exe(Windows 9x/Me);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%/whboy.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。——重點是那個txt文件,必須先結束Explorer.exe才能夠刪除它。
8.http://www.joyiex.com刪除方法
先用任務管理器結束Explorer.exe進程,接著刪除以下文件(可以通過WinRAR的主程序刪除文件):
%System%/msapi.exe
%System%/msapi.dll
此病毒已經禁用注冊表編輯器,大家可以在網上搜索解鎖辦法或者使用注冊表修復工具可以輕松解鎖
其他的幾個是武漢男生
安全模式下,先用任務管理器結束Explorer.exe進程,接著刪除以下文件:
%Windir%/bak.exe
%System%/whboy.exe
[%System%/whboy.txt 和 %System%/whboy***.txt(***為數字)]——這兩個文件如果有的話
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%/whboy.exe為Shell = Explorer.exe(Windows 9x/Me);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%/whboy.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
!
9.http://www.QQ.5qt.net刪除方法
在安全模式下刪除:
%System%/logonuit.exe
%System%/mstinitt.exe(關聯TXT文件)
%System%/windows.exe
刪除病毒加在HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下的啟動項:windows update = %System%/logonuit.exe
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%/windows.exe為Shell = Explorer.exe(Windows 9x);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%/windows.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
還要恢復TXT關聯。
10.http://photo.rm510.com/pic.asp?刪除方法
到注冊表編輯器里刪除這些信息:
HKEY_CLASSES_ROOT/CLSID/{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE/Software/CLASSES/LNTERAPI64.classname]
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}
HKEY_CLASSES_ROOT/CLSID/{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
(默認) = "winmem"
"services" = "%Windows%/services.exe
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunServices
"services" = "%Windows%/services.exe"/
重新啟動計算機后刪除以下文件:
%Windows%/services.exe
%Windows%/MlcrosoftSound.wav(MlcrosoftSound.wav的第二個字母是L)
%System%/bhjx.dll
%System%/lnterapi32.dll(lnterapi32.dll的第一個字母是L
%System%/lnterapi64.dll(lnterapi32.dll的第一個字母是L)
%System%/SVCH0ST.EXE(SVCH0ST.EXE中的0是數字0,不是字母O)
%System%/winco.exe
%System%/winco1.exe
%System%/winco2.exe
%System%/winmem.exe
%System%/WinSocks.dll
11.QQ自動發送一些誘惑性名稱的可執行文件(圖標是壓縮文檔的圖標)
打開任務管理器,結束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是數字1)
然后讓Windows顯示隱藏文件,找到以下文件并且將其刪除:`
%System%/.exe
%System%/notepad.exe
%Windir%/System/RUNDLL32.EXE
QQ目錄中的TIMP1atform.exe(注意是數字1不是字母l,別刪錯了)
然后打開注冊表編輯器刪除:
HKEY_LOCAL_MACHINE/Software/Classes/MSipv和HKEY_CURRENT_USER/Software/Classes/MSipv下的MainSetup、MainUp、MainVer三項DWORD鍵值
最后通過注冊表修復工具修復EXE和TXT文件關聯,重新啟動即可。
標簽:
