精华区 [关闭][返回]
当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>☆★☆★☆新近常见问题集锦☆★☆★☆>>恶性QQ病毒"爱情森林"的解决方案[转载]

主题:恶性QQ病毒"爱情森林"的解决方案[转载]
发信人: virus2001(幸福的狮子)
整理人: emil(2002-08-28 22:39:49), 站内信件
金山毒霸爱情森林解决方案


病毒名称:Trojan.Sckiss.178752 
中文病毒名:爱情森林 
病毒类型:木马程序 
感染长度:178752字节 
危害级别:中 
传播速度:慢 
     
病毒特征: 
     
    该病毒一旦运行后,会: 
     
    (1)复制自己的两个拷贝到系统目录下(通常为windows\system),分别命名为rundll.exe和sysedit32.exe。 
   
  (2)修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加键值intarnet="%windowssystem%\rundll.exe",使木马程序可以随开机自动运行(其中%windowssystem%为Windows的系统目录)。 

    (3)修改注册表,修改HKEY_CLASSES_ROOT\txtfile\shell\open\command\的默认键值为%windowssystem%\sysedit32.exe,使得当用户打开txt文件时木马程序获得运行机会。 
     
    (4)该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net 你快去看看”的消息,诱导用户浏览含有恶意代码的网页。 

    (5)该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱,有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .\mima.txt”。 
     
  手工清除该木马的方法如下: 
   
    (1)打开任务管理器,关掉名为RUNDLL和SYSEDIT32的进程。 
     
    (2)找到系统文件夹(Win9x通常为Windows\system,WinNt通常为WinNt\system32),删除掉名为RUNDLL.exe和名为sysedit32.exe的文件,大小为1781752字节。 
   
   (3)打开注册表编辑器,删除掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为intarnet=%windowssystem%\rundll.exe"的键(其中%windowssystem%为Windows的系统文件夹)。修改HKEY_CLASSES_ROOT\txtfile\shell\open\command的默认键值为Notepad %1。 
  
  (4)若根目录下存在文件setup.txt或mima.txt,将其删除。   

爱情森林变种1瑞星可查杀) 

病毒名称:Trojan.sckiss.176643 
病毒类型:木马程序 
感染长度:176643字节 
危害级别:中 
传播速度:慢 
病毒特征: 
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序一旦被运行后,会: 

(1)复制自己到Windows系统目录(通常为windows\system)下,命名为Explorer.exe,由于它和Windows目录下的Explorer文件同名,因此会迷惑用户而误认为这是一系统文件。 

(2)修改注册表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下添加键值Explorer="%windowssystem%\Explorer.exe",使木马程序可以随开机自动运行(其中%windowssystem%为Windows的系统目录)。 
     
    (3)该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,从而进行其它的破坏活动。 
     
    用户可手工清除该木马,方法如下 : 
     
    (1)打开任务管理器,关掉位于下面的那个Explorer进程,然后删除掉系统目录下的木马程序Explorer.exe。 
     
    (2)用户也可直接重新启动到DOS下删除该木马程序。 
     
    (3)打开注册表编辑器,删除掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为Explorer的键值。


----
幸福的狮子
服务为网民
网易(广州)社区电脑病毒版
金山毒霸安全资讯论坛 病毒与防护讨论版

我的电子邮件: [email protected]
QQ:76025852 

常用下载:
新欢乐时光清除器(Redlof,VBS.KJ)
Nimda清除器(Nimda,Concept,China-1)
求职信清除器(WantJob,Klez)
注册表安全工具集(RegTools)                      
[关闭][返回]