流行QQ病毒档案与解决方法

先看看任务管理器中是否有一些可疑的文件在运行,结束它,然后到SYSTEM和SYSTEM32中找到

这个程序,删掉它!!

专杀工具:
http://www.duba.net/download/3/20.shtml

IE 修复工具
IE 修复器集合:http://www.skycn.com/sort/sort2100900_indate_DESC_1.html
3721 修复网站:http://assistant.3721.com/
3721 修复网站:http://magic.3721.com/
金山毒霸注册表修复器修:http://www.duba.net/download/othertools/duba_regsolve.exe

QQ病毒狩猎者(2003-05-12)
1. 该木马会把自己注册为服务。
2. 设置默认主页为http://www.k163.com。
3. 生成文件: intrenet.exe windows.exe
4. 在注册表里添加键值，并定时对注册表进行修改,防止用户修改回去.
5. 向QQ"发送消息"向QQ窗口发送"向你推荐一个网站http;//www.k163.com是我朋友做的,精

彩哦!"并自动发送出去。
6. 如果访问http://www.k163.com, 首页中文件尾部有如下代码，它会让计算机自动下载并

打开love.mht文件, 这个文件利用了IFrame漏洞,会自动运行其中的附件, 这个附件就是上面

介绍的这个病毒。

QQ尾巴,QQ林妹妹病毒之类(2003-9-25)
1.该病毒主要是向正在聊天的QQ用户发送类似“呵呵,其实我觉得这个网站真的不错,你看看

！http://www.ktv530.com/”的消息，收到消息的QQ用户如果点击相关地址的话，就会中毒

，然后继续向其它正在聊天的QQ好友发送类似信息。该病毒每隔几分钟就会发送一次病毒消

息,严重干扰了用户正常的信息传递。
2.该病毒运行时会将自己复制到系统目录，然后修改注册表进行自启动，病毒驻留内存时会

隐藏在其它进程里面，即使通过任务管理器工具也很难找到它。如果用户将病毒键值删除，

在关机时病毒会自动写回，保证下次重启电脑时病毒还能自动运行。
--------------------------------------------------------------------------
QQ连发器及变种(2003-5-28)
1.病毒运行时会将自己拷贝于系统目录下命名为：WebAuto.exe，并且在注册表的：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入名为：WebAuto.exe 的病

毒键值以便自启动。
2.修改IE默认浏览首页为http://www.***.com，使用户一上网就中招。
3.病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息:
1. "激情电影爽啊！给你也推荐一下，完全免费--"；
2. "快去这看看，里面有蛮好好东西--"；
3. "上次看了个网站不错，去看看吧--"；
4.在这些消息之后还伴随着一个恶意网址诱骗用户点击
--------------------------------------------------------------------------
QQ木马变种(Trojan.QQpass7)(2003-4-14)
1.该病毒除了盗取用户的QQ密码外，还能与外部黑客程序沟通，导致用户计算机的信息被泄

密。
2.该病毒会在C盘根目录下建立DebugFi.txt文件,最重要的是该病毒会在硬盘上的所有文件夹

中都拷贝一份病毒复本。
3.该病毒会利用启动光盘的技术，在每个分区的根目录下建立一个名为：autorun.ini的文件

，只要用户查看被感染分区，病毒就会立即运行。
4.并且该病毒会更改注册表来使自己自动启动

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
--------------------------------------------------------------------------
爱情森林III病毒(2002-10-1)
1.建立5个病毒副本：
C:\WINDOWS\WIN386.SWP
C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE
C:\WINDOWS\SYSTEM32\INTERNETS.EXE
C:\WINDOWS\WINUPDATE.EXE
C:\WINDOWS\WINVER.EXE
C:\WINDOWS\HOSTS。
2. 将注册表中的HKCR\exefile\shell\open\command项的内容改为：

C:\WINDOWS\winupdate.exe %1 %*"

爱情森林II病毒(2002-9-12)
1.该病毒将自己复制多份到windows的系统目录，并修改多项注册表。
2.当用户点击任何一个.exe文件时，病毒会根据特定文件名动态生成一个对话框：“某某文

件发现引导区病毒，请到dos下面用A盘!”一旦当用户点确定时，文件即被删除。
3.此病毒还会修改本地的hosts文件不让用户登入一些反毒网站，使用户无法上网升级病毒库

最新版本。

爱情森林I病毒(2002-8-29)
1.利用邮件包装，形成自启动邮件。
病毒的原始文件是一个名为HACK.EXE的木马病毒，病毒作者利用了OUTLOOK的邮件漏洞，将原

始病毒包装成一个可以预览执行的病毒邮件s.eml，然后放入一个恶意网页中，等待下载。
2.利用QQ工具，发送伪装信息。
此信息的内容为：“http://sckiss.yeah.net 这个你去看看!很好看的”如果用户的好友在

收到了此信息后，因为好奇而点击了此链接，则会进入一个恶意网页。
3.利用恶意网页帮凶，导致病毒泛滥。
该恶意网页会将用户的IE标题改为:"http://sckiss.yeah.net/爱情森林"，使用户的“运行

”菜单项无法使用,并且将用户的IE默认首页改为:"http://sckiss.yeah.net/"，此恶意网页

还将此网址加入注册表中的RUN自启动项。
4.侵占系统目录。
病毒首先改名为:"EXPLORER.EXE"，然后更改注册表来使自己自动启动

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
--------------------------------------------------------------------------
QQ伪装专家病毒(2002-10-25)
1. 使打印机无故打印乱码。
2. 在桌面上建立一个名为：“QQ2000b”的快捷方式。
3. 启动后会将自己拷贝到系统目录下，并改名为 windll.exe, photo.gif.exe 和

notepads.exe。
4. 病毒会在注册表的

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加一个键值

为：WinIme，内容为：C:\WINNT\SYSTEM32\windll.exe的自启项。
5. 病毒会修改注册表，将命令接口（HKEY_CLASSES_ROOT\Txtfile\shell\open\command）改

为病毒体
6. 病毒会利用邮件进行传播，产生标题为：“这是我的照片”，附件为：“photo.gif.exe

”的病毒邮件。