免费故障咨询:15065617125 13371057808 QQ:56914576

解决QQ被加小尾巴的方案

潍坊电脑维修 xxlk521 13年前 (2012-07-05) 19597次浏览 0个评论

 解决QQ被加小尾巴的方案病毒名称:Trojan.QQPassRecoder.12288

  病毒类型:木马

  病毒大小:12,288

  简介:

  运行后会造成一些exe和com文件无法被打开,使用QQ发送消息的时候会自动添加“http://xmc.nease.net

  target=_blank>http://xmc.nease.net”>http://xmc.nease.net

  病毒行为:

  (1)运行后会在%windir%\system32\目录下生成svh0st.exe、scanregw.exe和Internets.exe这三个拷贝。

  (2)修改注册表

  在注册表中添加:

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg的项目,内容为:%windir%\system32\Scanregw.exe。

  修改了exe文件和com文件的默认打开方式:

  将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\Internets.exe%1%*。

  将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\svh0st.exe%1%*。

  由于木马设计有缺陷,使得exe和com的打开方式被破坏,一些程序无法运行。

  手工清除方法:

  1、运行注册表编辑器(regedit)

  2、停掉所有名为svh0st.exe(注意:零和字母o的区别)、scanregw.exe和Internets.exe的进程。

  3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为”%1″%*,删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg项目。

  4、删掉%windir%\system32\svh0st.exe、scanregw.exe和Internets.exe文件。

  注:

  1、上面的%windir%代表你的windows的安装目录,一般为C:\Windows。

  2、如果是在98\ME系统的话,上面的system32应为system。

  发现了其他的两个变种,方式和上面的大同小异。

  附件为专杀工具,注意此工具为金山论坛毒霸版版主制作,和金山公司以及金山毒霸系列产品没有任何的关系。

  目前专杀工具可以查杀Trojan.QQPassRecoder.12288、20480、12293和11776四个版本。

  最新版本可以直接清除内存中的病毒,不需要在“安全模式”下杀毒了,感谢Colaventor帮忙测试和修改程序。

 

喜欢 (0)

您必须 登录 才能发表评论!