qq号感染病毒木马（一波三折搞定QQ木马病毒）

大家好，小太来为大家解答以上问题。qq号感染病毒木马，一波三折搞定QQ木马病毒这个很多人还不知道，现在让我们一起来看看吧！

前几天我同学在QQ上收到一个别人发来的文件(见图一)，打开后很开心。结果什么都没有。然后他发现自己不断给别人发文件，就找我帮忙清除。杀人过程一波三折。这篇文章可供你参考。

1.轻松搞定假货。先删除他收到的文件，然后用进程检查软件TroyanFindInfo(下载地址33603358NJ.onlinedown.net/soft/36670.htm)检查系统中的所有进程。很快就发现了一个非常奇怪的过程(见图2)。虽然名字是RUNDLL32.EXE，但其他东西如版本、产品名称和描述都不同于微软的RUNDLL32.EXE。

另外，文件保存在系统目录下，而同学的系统是Windows2000，系统自带的RUNDLL32.EXE应该保存在System32的文件夹下。基于以上判断，初步断定该进程为木马进程，因此在TroyanFindInfo中用“编辑杀死进程”关闭该进程。同时删除c:\WINNT\系统\目录下的原木马文件。最后，在注册表中查找所有的启动自启动项，找到与刚刚删除的RUNDLL32.EXE相关的键值。提示小进程查看的软件有很多，比如之前介绍的IceSword，本文介绍的TroyanFindInfo等。我个人喜欢用TroyanFindInfo，因为它小巧、全面、实用。当你自己无法判断流程文件时，也可以点击“保存”按钮，保存日志文件，然后发给专家帮他分析。以前QQ病毒大多是通过发送病毒网址来传播的。现在很多都是直接通过QQ发病毒文件，比如用图片图标的EXE文件。当你收到朋友或陌生人发来的消息和文件时，一定要提高警惕。最好先问问对方有没有发资料或者文件，以免有恃无恐。请参考《中毒后遗症，妙手来清除》，第1期，2005年的具体位置启动在注册表中。2.“病毒清除的幕后黑手”以为这是个轻松的案子，可刚一回家，同学就打电话来说，好像木马还没清除。过去，原来的情况又出现了。按照刚才介绍的方法处理后，回想整个操作，推断木马可能把他的分身藏在了系统的某个地方。

然后，打开我的电脑，点击菜单栏上的工具文件夹选项，在弹出的视图选项卡中，取消选中“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”，再选中“隐藏文件和文件夹”中的“显示所有文件和文件夹”(见图3)。

进入系统目录，我仔细查看了WINNT、System和System32的目录。不出所料，我找到了“？exe”和“记事本？exe”两个特殊文件，根据刚才在系统目录下查杀RUNDLL32.EXE的经验，这些文件既不是系统自带的程序，属性也和刚刚删除的RUNDLL32.EXE差不多。可以推断这些文件是木马文件，自然就删除了。最后，进入注册表，检查所有的启动项。建议小系统自己的程序有自己特定的位置和图标，比如“RUNDLL32。EXE”在开头被删除。如果是系统自带的程序，在Windows2000/XP中会存储在system目录下的System32文件夹中。类似于。exe”和“记事本？”特洛伊木马文件的命名，如。exe”抓住了人的心理弱点，忽略了类似的东西。如果扩展名是隐藏的，这个例子中的两个文件很容易被忽略。另一种是用相似的字母或数字代替，达到混淆的目的。比如“I”(大写的I)、“L”(小写的L)、“1”(数字1)或者“O”(字母O)和“0”(数字0)，很容易混淆。3.最后善后的麻烦很多。正在窃喜的时候，突然发现所有应用都不能用了，弹出如图4所示的提示。于是我继续解决问题。3360.在Window的系统目录里把“Regedit.exe”的扩展名改成COM，忽略警告然后运行，然后打开注册表编辑器，然后转到【HKEY_LOCAL_MACHINE\Software\Classes\Exefile\Shell\Open\Command】把“default”键改回“%1%*”。用“？”和“记事本？”搜索关键字，发现注册表中的一个键值，即[HKEY_本地_机器\软件\类\txtfile\shell\open\command]也被改成了“记事本？%1”，只需将其改回默认的“记事本”。请执行%1。最后为了保险起见，用安装的杀毒软件对系统进行了全面的病毒检查，发现QQ目录中的“TIMPlatform.exe”也是木马。在QQ目录中查找，发现还有一个文件“TIMP1atform.exe”。经过查看属性，检查病毒，确认是被木马重命名的原“TIMPlatform.exe”文件。改变之后，一切正常。

提示：在检查注册表时，请注意查看键值是否被篡改，是否添加了额外的空格，或者是否使用了令人困惑的字母。当查杀木马后发现系统异常时，很可能已经留下了很多后遗症。具体处理方法见《中毒后遗症，妙手来清除》，2005年第1期。建议手动清理木马后使用杀毒软件彻底查杀系统。在边肖有一种说法，是一样的。最近，边肖已经多次手动清除病毒。使用的工具是RegFix(下载地址在：http://nj.onlinedown.net/soft/25562.htm)和IceSword(3358www.Xinhua.com/cfan/200508/IceSword.rar)。前者可以用来修复注册表，后者是手动杀毒非常好的必备软件。其实只要使用方便，任何工具都可以解决问题，整个过程如本文所述。

本文到此结束，希望对大家有所帮助。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！