|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
对qq自动传文件病毒逆向后的一点成果
|
日期:2007年4月29日 作者: 查看:[大字体
中字体 小字体]
|
不清楚叫什么病毒名,只知道很是厉害,会自动向你的好友发文件。前面一大堆状态判断长的不行了,代码就不帖了,不过还是学到了很多东西,来点实际的:)
*手动删除病毒*
1.查找进程rundll32.exe k掉
2.如果有 .exe(注意是一个特殊字符不是空格)进程,k掉
3.定位[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/txtfile/shell/open/command]
改默认键值为 "notepad %1" (注意前面没有那个类似于空格的特殊字符)
4.定位[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/exefile/shell/open/command]
改默认键值为 "%1" %* (注意前面没有那个类似于空格的特殊字符)
5.定位[HKEY_LOCAL_MACHINE/SOFTWARE/TENCENT/QQ]
得到你的qq目录,再转到你的qq目录下
可发现 有两个文件
TIMPlatform.exe
TIMP1atform.exe (注意是1不是L)
删除TIMPlatform.exe(病毒,为winrar图标),把TIMP1atform.exe改名为TIMPlatform.exe
6.病毒文件删除,下面是要删除的病毒文件(都为winrar图标),假设windows目录为c:/winnt
c:/winnt/system/rundll32.exe
c:/winnt/system32/?.exe
c:/winnt/system32/notepad?.exe
*为你的系统打上此病毒"补丁"*
打此补丁后以后不会再中此病毒
定位注册表项(没有则新建)
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/MSipv
添加一键值
MainVer 类型为REG_DWORD,值为ffffffff(16进制)
病毒启动判断状态参数完毕后会查询此值,如当前版本值比它小则会弹出个对话框就退出。
我得到的病毒版本值为505【
(出处:清风网络学院)
上一篇:“MSN木马”重创百名用户近期不要接受不明文件
下一篇:手工清除冰河病毒的方法
|
| 对qq自动传文件病毒逆向后的一点成果 相关文章: |
|
|
|
| 对qq自动传文件病毒逆向后的一点成果 相关软件: |
|
|
|
|
