“QQ尾巴”查杀

“QQ尾巴”是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中，发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看，里面有蛮好的东西”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源，继续传播。

“QQ尾巴”会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。

　　QQ收到信息如下：

　　1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。

　　2. 呵呵，其实我觉得这个网站真的不错，你看看http://www.ktv***.com/

　　3. 想不想来点摇滚粗口舞曲，中华 DJ 第一站，网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈，真正算得上是国内最棒的 DJ 站点。

　　4. http//www.hao***.com 帮忙看看这个网站打不打的开。

　　5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?


1。利用WINDOWS“查找”功能


用户从开始菜单中选择“查找→文件或文件夹”并打开系统“查找”对话框：

步骤一：切换到“名称与位置”选项卡，在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字，如一段网址或“一个很不错的网站”等，将“搜索”范围指定到C:\WINDOWS\并选中“包含子文件夹”选项。

步骤二：切换到“日期”选项卡，选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”，在“介于×年×月×日和×年×月×日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期，当然也可以是浏览过QQ信息中虚假网址的当天。

步骤三：进行完上述所有设置后，单击“查找”，Windows查找工具会分别在C:\WINDOWS\文件夹中找到一个名为Sendmess的应用程序和C:\WINDOWS\TEMP\文件夹中找到一个名为Younv的应用程序，用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。


　　2．安装系统漏洞补丁

　　由病毒的播方式我们知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

“武汉男生”木马病毒

　　该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后，用户一旦运行了QQ，病毒就会不断搜寻当前已经打开的QQ"发送消息"窗口，并在找到"发送消息"窗口后，自动发送一条消息到其他用户那里，"我的相片..看看..（某网站网址）"，一旦收到此消息的得用户点击了该网站的链接，就遭受了病毒的感染。

　　病毒运行后在系统目录下生成三个病毒文件，分别为ABCHELP.EXE，WINhelp32.exe和DirectX.exe，其中后2个文件的属性是隐含的。（系统目录在Windows 9x/Me下为C:WindowsSystem，在Windows NT/2000下为 C:WINNTSystem32，在Windows XP下为 C:WindowsSystem32）

　　病毒修改注册表，使病毒能随系统启动而自动运行。

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe"

　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成（default）= "abchelp.exe"

　　广大用户应及时升级杀毒软件，启动"实时监控"系统，在使用OICQ聊天时也要留意，不要轻易打开任何链接，以免遭受病毒的感染。

　　清除病毒的相关操作

　　1、删除病毒在系统目录下释放的病毒文件

　　2、删除病毒在注册表下生成的键值

　　3、运行杀毒软件，对病毒进行全面清除

　　防范病毒使用杀毒软件有五大禁忌

　　（一）忌偷懒不升级

　　（二）忌忽略对邮件的保护

　　（三）忌疏忽设置各项功能

　　（四）忌轻信网络的安全性

　　（五）忌轻视数据备份 
QQ“缘”病毒

　　病毒特征：

　　该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

　　病毒会利用QQ发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”；“1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息，消息里的链接是病毒网址。

　　清除方法：
　　
　　使用了下面的办法将其彻底删除。

　　找到下列文件:

　　C:\windows\system\noteped.exe
　　C:\windows\system\Taskmgr.exe
　　C:\Windows\noteped.exe
　　C:\Windwos\system32\noteped.exe

　　删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"
然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
找到"Taskmgr" 删除

　　如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:

　　1.在任务栏上点击鼠标右键，选择任务管理器

　　2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

　　3.点击开始-运行，输入Regedit进入注册表

　　4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，将Taskmgr"项删除"。

　　删除后重启计算机，《缘》QQ病毒宣布彻底删除。

　　另外提醒大家，尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。

[1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页