本文目录一览：

• 1、QQ盗号木马是什么？
• 2、qq木马怎么杀？？
• 3、qq盗号木马是什么
• 4、中了QQ木马病毒怎么办?
• 5、qq病毒的典型QQ病毒
• 6、常见的QQ病毒有哪些

QQ盗号木马是什么？

盗号木马是指隐秘在电脑中的一种恶意程序，并且能够伺机盗取各种需要密码的账户(游戏,应用程序等)的木马病毒，它是计算机病毒的一种。 普通的传播方法例如:QQ尾巴病毒能够自动在QQ聊天窗口中随意发送URL消息，所发送的URL通常是病毒链接、不良网站以及广告消息等。由于QQ用户误以为是好友发出，因此点击率非常高，导致用户计算机中病毒;打开不良网站中木马...或者是某些网站被恶意攻击者挂上木马导致浏览者浏览时中木马等。

定时用杀毒软件进行全面扫描电脑,并进行补丁安装。补丁安装可能需要一段时间，您可以在计算机闲置的时候进行该工作。如果您能够及时的安装系统漏洞补丁，则盗号木马将很难装载在您的计算机。

木马主要通过植入网站,PC点击后自动载入PC,然后自动下载其他病毒,所以良好的上网习惯很重要!

qq木马怎么杀？？

朋友,你去安全模式杀毒吧.你用的是什么木马软件?我推荐你使用security suite 和QQ病毒专杀.

发现如下盗号木马，请重新启动电脑完成清除。查看被感染文件列表

Win32.QQPsw.VKTail.a

W32.Licum.vyb.dll

木马svhost32.exe、dms.dll手动删除

2007-01-07 13:01

病毒名称：N/A（Kaspersky）

病毒别名：Win32.Troj.PcRob.bh.60693（毒霸）

病毒大小：60,693 字节

传播方式：通过恶意网页传播，其它木马下载

技术分析

==========

病毒临时文件自解压在：

C:\Documents and Settings\user（你的计算机用户名）\Local setting\Temp下

病毒运行后复制自身到目录：

%ProgramFiles%\Microsoft\svhost32.exe

释放%System%\dms.dll注入进程。

创建自启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ms"="%ProgramFiles%\Microsoft\svhost32.exe"

清除步骤：

1. 删除病毒自启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ms"="%ProgramFiles%\Microsoft\svhost32.exe"

2. 用IceSorld 1.2 强制删除病毒文件：

%ProgramFiles%\Microsoft\svhost32.exe

%System%\dms.dll

【CISRT2006071】木马下载器 WinInfo.rxk WinInfo.bak 解决方案

2006-11-15 19:32

转自，

【CISRT2006071】木马下载器 WinInfo.rxk WinInfo.bak 解决方案

档案编号：CISRT2006071

病毒名称：N/A（Kaspersky）

病毒别名：

病毒大小：20,791 字节

加壳方式：UPX

样本MD5：ef13c880f2a5cfd628e352ebcf29527b

样本SHA1：bfe0314fe943c1d9eb589a79ec3a6e086619e6c9

发现时间：2006.11

更新时间：2006.11

关联病毒：传播方式：通过恶意网页传播、其它木马下载

技术分析

==========

运行后复制自身到：

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak

在相同目录下释放WinInfo.rxk，注入Explorer.exe进程：

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk

创建启动信息，通过ShellExecuteHooks启动：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore

r\ShellExecuteHooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}\InProcServer32]

@="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk"

尝试访问网络下载其它病毒、木马或其它恶意程序。

清除步骤

==========

1. 删除病毒创建的ShellExecuteHooks启动信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore

r\ShellExecuteHooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"

[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}]

2. 重新启动计算机

3. 删除文件：

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk

%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak

中了svohost.exe或sxs.exe的网友看过来

－－svohost.exe或sxs.exe杀毒方法

发现硬盘老是有个程序删不掉我就知道中毒了，把我的杀毒软件都关了,在重装根本就装不上,真是郁闷,就上网上查一下解决方法，整整用了四个小时才把病毒搞定。

有史以来第一次遭遇如此顽固的病毒，网上找了找，没有统一的名字，瑞星称为 Trojan.PSW.QQPass.pqb 病毒，我就叫它 sxs.exe病毒吧

重装系统后，双击分区盘又中了，郁闷，瑞星自动关闭无法打开，决定手动将其删除

现象：系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者 svohost.exe （与系统进程 svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开

找了网上许多方法，无法有效删除，所谓的专杀工具根本对它没什么用。综合几个人的杀毒方法才把它彻底清除。

现在把方法总结如下：

在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开

一、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（我的电脑里出现的是SVCHOST）注意别搞错了。

二、显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

除病毒

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

四、删除病毒的自动运行项

打开注册表运行——regedit

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

五、后续

杀毒软件实时监控可以打开，但开机无法自动运行

最简单的办法，执行杀毒软件的添加删除组件——修复，即可

六、最新消息

瑞星已出了专杀工具，不幸中此病毒的朋友可以去下面地址，下载“橙色八月专用提取清除工具”

引用说明：

8月初出现了大量针对主流杀毒软件编写的恶性病毒。它们除了具有常见危害外，还会造成主流杀毒软件和个人防火墙无法打开，甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

瑞星“橙色八月专用提取清除工具”专门针对此类病毒编写，可清除“QQ通行证（Trojan.PSW.QQPass）”、“传奇终结者（Trojan.PSW.Lmir）”、“密西木马（Trojan.psw.misc）”等病毒及其变种。没有安装瑞星杀毒软件的用户可免费下载使用。

注：建议您重新启动计算机，按住F8键，选择“安全模式”，进入后使用此工具杀毒。

附：病毒列表上的病毒主要针对以下安全软件

卡巴斯基

Symantec AntiVirus

瑞星

江民杀毒软件

天网防火墙个人版

噬菌体

木马克星

金山毒霸

SVOHOST.EXE是什么进程

答案之一：“武汉男生变种MN(Trojan.QQMSG.WHboy.mn)”病毒:

警惕程度★★★，木马病毒，通过网络传播，

依赖系统:WIN9X/NT/2000/XP。

病毒运行后将自身复制到Windows系统目录下，文件名为“svohost.exe”，同时修改注册表项目实现开机自动运行。

病毒将IE的首页修改为“. ***iex.com”，使用户每次打开IE都会浏览该病毒网站。

答案之二：

windows下面的木马病毒。会自动关闭系统里的杀毒软件及注册表，任务管理器等窗体！病毒还会修改IE的主页，自动从网络上下载病毒并运行！

删除方法：

1） 运行DOS命令行（开始--运行--输入CMD--回车），在提示符下输入tasklist 。应该会发现你说的svochost.exe这个进程。

2）taskkill /f /im svochost.exe 关闭进程。

3）搜索系统里的svochost.exe文件（包括隐藏文件和系统文件）还有lsasa.exe这个也要删除。

4）运行相关杀毒软件杀毒！

5）即使病毒删除后，还会有一些负面影响，比如txt,exe文件的关联被修改..===

SVOHOST的解决方法！

我电脑最近开机就出现SVOHOST这个进程（任务管理器中）。点击结束进程就行。但每次都出现。用超级兔子木马专杀试了下，不管用，安全状态下也不管用。我的卡巴斯基根本检查不出来，怎么办呢？

svohost.exe是Trojan-Proxy.Win32.Agent.if木马相关程序，建议立即删除。

病毒运行后会将自身复制到系统目录下，文件名为“SVOHOST.exe”和“hsoft.exe”。同时在注册表中添加Run/SoundMam信息，实现开机自动运行或打开文本文件时自动运行。

该病毒会自动向QQ好友发送内容为“让我成功申请x位QQ号和Q币动画,朋友推荐我的,你看看http: //www.***iex.com/abc.exe”等的消息，用户点击消息中的网址就有可能被病毒感染。

同时还有以下症状：

1、卡巴司机无法启动（后来知道是系统服务被禁用了）。

2、无法察看隐藏文件（修改注册表）

3、病毒文件在system32文件夹找不到

4、在启动项里面有个svohost.exe,改启动项之后发现还是会被自动添加

估计病毒文件是隐藏的。。

后来我再来补另一位朋友的解决心得吧：

病毒的删除

1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)

2.关了他.输入命令taskkill /f /im svohost.exe

提示成功.

3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.

事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了但是得恢复TXT文件关联和恢复EXE文件关联

备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒

4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件"，这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.

1.用WINDOWS的搜索.只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了.

2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.

我们到注册表里去把他改回正常状态.

打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.

改了注册表，显示了隐藏文件把svohost删了好像就没有事了

qq盗号木马是什么

盗号木马是一种病毒，它能将你的号盗掉，你的号就打不开了，如果号没有被盗，说明你的电脑里还没有木马病毒。最好每次上线之前都查杀一次木马，如果查出来，赶紧启动QQ医生，快将木马清除。

中了QQ木马病毒怎么办?

方法一:

您可以下载一个“木马克星”软件和一个注册机，然后安装。安装后重启计算机，按住“F8”键进入“不带网络连接安全模式”，然后杀毒即可清除。

如果仍然无效，您可以下载或购买一张“瑞星杀毒软件”2005或者2006版，步骤和上述程序相同。祝您早日杀毒成功。

方法二:

如果还不行，就用最最低级，也是最不推荐的方法：使用QQ病毒专杀工具（下载地址：）。但是QQ病毒专杀工具不保证能够杀掉所有QQ病毒。

回答者：ccxuming - 助理 二级 2-19 11:56

--------------------------------------------------------------------------------

中了木马不要着急，我来帮你：

木马的查杀，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动)，现在很多杀毒软件能删除网络最猖獗的木马，建议安装金山毒霸或安全之星XP，它们在查杀木马方面很有一套！

由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法是：

1.)检查注册表

看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version和HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。

2.)检查启动组

木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，在注册表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell

Folders Startup="C:＼windows＼start menu＼programs＼startup"。要注意经常检查这两个地方哦！

3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所，要注意这些地方

比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。

4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里

C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。

5.)如果是EXE文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下了。

6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动

所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。

另外，你也可以试试用下面的办法来解决：

从网上下一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用。

这个是下载地址。

这个是它的详细用法。

一般来说，不管是木马、病毒进入我们的机器后都是“三隐”的即隐进程、隐服务、隐文件的，利害的能将杀毒软件有实时监控给杀死！但在这个冰刃里，它是无法遁身的。开启的非法进程会以红色显示出来。

至于杀毒软件，应该说各人有各人的喜好，下面给出的链接上你看看比较一下：

六款主流杀毒软件横向评测

消费者该如何选择？六款杀毒软件横向评测(这个要详细些)

qq病毒的典型QQ病毒

1、病毒名称：Trojan/QQMsg.Zigui

中 文 名：“QQ龟”

病毒类型：木马

影响平台：Win 9x/2000/XP/NT/Me/2003

“QQ龟”是一个木马程序，通过向QQ好友群发病毒程序文件进行传播。文件名极具欺骗性，甚至调侃脑白金广告 “今年过年不收礼，收礼只收白骨精（搞笑版广告）”，继而盗取用户机密信息，并将盗取的信息发送给黑客。 2、病毒名称：I-Worm/QQ.Porn

中 文 名：QQ爱虫

传播方式：网络

病毒类型：蠕虫

影响平台：Win 9x/2000/XP/NT/Me/2003

QQ爱虫是通过在线QQ发送病毒文件的网络蠕虫，该病毒会通过QQ发送名为“蔡依林短裙显诱惑[转帖][贴图]”等带毒文件，病毒文件名还会包含众多带有色情和挑逗性的文字。病毒运行后会从黑客网站下载另一病毒“结巴” (Backdoor/Jieba.2004)，后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码。 小心误入爱情森林，恶意网页是帮凶。2002年8月23日下午，瑞星全球病毒监控中心首次截获了一个传染能力极强的恶性QQ病毒――“爱情森林”（Trojan.sckiss）。据瑞星公司的反病毒工程师介绍，此病毒会利用QQ软件，诱惑用户打开一恶意网页，而该网页会自动下载病毒并修改注册表产生破坏。

病毒类型：木马病毒

发作时间：随机

传播方式：邮件/网络/QQ诱骗

感染对象：网络

警惕程度：★★★★

病毒介绍：

此病毒是已知的第一个利用QQ进行传播并破坏的恶性木马病毒。它利用本机QQ,在用户不知道的情况下向用户的好友发送一句消息：“(网址不便展现)这个你去看看！很好看的”一旦登陆此网站，便会中毒。因为此网站的主页是一个恶意网页，它会自动下载“爱情森林”病毒并执行，从而对用户计算机造成破坏。

此病毒具有以下四大特色：

一、 利用邮件包装，形成自启动邮件。

病毒的原始文件是一个名为HACK.EXE的木马病毒，病毒作者为了能使病毒“初战告捷”，迅速占领用户计算机，利用了OUTLOOK的邮件漏洞，将原始病毒包装成一个可以预览执行的病毒邮件：s.eml,然后放入一个恶意网页中，等待下载。

二、 利用QQ工具，发送伪装信息。

如果用户不小心点击或预览了病毒邮件，病毒便可执行。病毒执行时会搜索用户的QQ程序，如果用户在线的话，病毒会伪装成用户，给用户的所有在线的好友发送一条用户无法查觉的隐藏信息，此信息的内容为：“(网址不便展现)这个你去看看！很好看的”如果用户的好友在收到了此信息后，因为好奇而点击了此链接，则会进入一个恶意网页。

三、 利用恶意网页帮凶，导致病毒泛滥。

该恶意网页用JS语言编写，利用了JAVA EXPLOIT漏洞，所以不经用户的允许，便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏，将用户的IE标题改为：“(网址不便展现)/爱情森林”，使用户的“运行”菜单项无法使用，并且将用户的IE默认首页改为：“(网址不便展现)”，此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来，无论用户启动计算机还是启动IE浏览器，都可以自动链接到恶意网页，感染病毒。

四、 侵占系统目录，继续“生生不息”。

“爱情森林”病毒通过QQ发送信息之后，便开始进行本机的感染。病毒首先改名为：“EXPLORER.EXE”，然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下，这样用户即使发现也不会起疑心，然后病毒修改注册表，在RUN的自启动项中建立一个EXPLORER的键值，将病毒路径加入其中，一旦计算机重启，病毒便可自动运行，再次进行以上感染。

爱情森林II病毒

浪漫的“爱情森林”又升级了，所有的计算机用户都应该注意，不要被浪漫的病毒骗了。

病毒类型：木马病毒

发作时间：随机

传播方式：邮件/网络

感染对象：网络

警惕程度：★★★★

病毒介绍：

1.此病毒是爱情森林的变种，当第一代的病毒网址被封掉以后，病毒又想出了新招。

2.该病毒将自己复制多份到windows的系统目录，并修改多项注册表。

3.当用户点击任何一个.exe文件时，病毒会根据特定文件名动态生成一个对话框：“某某文件发现引导区病毒，请到dos下面用A盘！”一旦当用户点确定时，文件即被删除。

4.此病毒还会修改本地的hosts文件不让用户登入一些反毒网站，使用户无法上网升级病毒库最新版本。

爱情森林C版病毒

“爱情森林”病毒又出C版，请用户及时准备，以防不测。

病毒类型：木马病毒

发作时间：随机

传播方式：网络

感染对象：网络

警惕程度：★★★★

病毒介绍：

爱情森林病毒的又一个新变种！此病毒运行时建立5个病毒复本：WIN386.SWP、WINUPDATE.EXE、INTERNETS.EXE、WINVER.EXE、HOSTS,并将系统的交换文件替换掉，而且还伪装成系统的更新文件躲在启动目录中。另外，病毒会将可执行的关联改成病毒体，这样用户运行其他程序时会直接运行病毒体，而且有些程序运行时还会被此病毒删除。

此病毒有如下特征：

1. 建立5个病毒副本，系统启动后病毒会自动运行： C:\WINDOWS\WIN386.SWP C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE C:\WINDOWS\SYSTEM32\INTERNETS.EXE C:\WINDOWS\WINUPDATE.EXE C:\WINDOWS\WINVER.EXE C:\WINDOWS\HOSTS 2. 将注册表中的HKCR\exefile\shell\open\command项的内容改为：C:\WINDOWS\winupdate.exe %1 %*，这样用户双击任何程序都会不启动程序而直接启动病毒。

3. 有时一些启动的应用程序还会被此病毒莫名其妙地删除。 于2002年10月18日出现的新型恶性QQ病毒“QQ伪装专家”（Trojan.QQcamoufleur）虽然已经被瑞星公司捕获，但鉴于这个病毒有出现新版本的可能，所以广大用户还是应该做好防毒准备。

病毒类型：木马病毒

发作时间：随机

传播方式：网络

感染对象：网络

警惕程度：★★★★

病毒介绍：

此病毒用高级语言编写并用aspack工具压缩。病毒会伪装成真正的QQ程序启动，并在桌面上建立一个名为：“QQ2000b”的快捷方式，而真正QQ的快捷方式是：“腾讯QQ”。病毒运行时会将用户的QQ号码与密码偷偷发送到指定邮箱。病毒有极强的网络传染能力，如果发现局域网中有共享目录，便将自身拷贝到共享目录下，诱使用户运行。病毒会通过邮件系统传播。建立标题为：“这是我的照片”，附件为：“photo.gif.exe”的病毒邮件。另外，病毒还会攻击打印机。一旦检测到打印机的存在，病毒便会不断地通过打印机大量打印病毒代码，损耗打印机，浪费纸张。

病毒一般会有如下特征：

1. 使打印机无故打印乱码。

2. 在桌面上建立一个名为：“QQ2000b”的快捷方式。

3. 启动后会将自己拷贝到系统目录下，并改名为 windll.exe,photo.gif.exe 和 notepads.exe。

4. 病毒会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加一个键值为：WinIme,内容为：C:\WINNT\SYSTEM32\windll.exe的自启项。

5. 病毒会修改注册表，将命令接口（HKEY_CLASSES_ROOT\Txtfile\shell\open\command)改为病毒体，这样即使是自启动项被用户删除了，病毒也会照常运行。

6. 病毒会利用邮件进行传播，产生标题为：“这是我的照片”，附件为：“photo.gif.exe”的病毒邮件。 Worm.Gop.3(QQ窃手）是近日出现的一种新型的蠕虫病毒，它以攻破聊天工具OICQ密码为目标，同时也会恶意泄漏用户的重要信息。此病毒蔓延速度极快，据瑞星全球病毒监测网报告，这是一种传播力极强的病毒，国内也已经发现病毒信息，所以广大用户应紧急采取预防措施，避免遭受损失。

病毒名称：Worm.Gop.3

别名：QQ窃手

病毒类型：蠕虫

发作时间：随机

传播方式：网络/文件

感染对象：网络/文件

警惕程度：★★★

病毒介绍：

Worm.Gop.3(QQ窃手)病毒主要通过邮件形式传播，最具危害的是：它具有与尼姆达病毒类似的“预览信件即受感染”的能力，这样用户不用打开病毒邮件就已经遭受感染。它具有传染极快、结构复杂等特点，它所造成的危害主要就是泄漏用户ICQ(OICQ)密码，同时将用户在感染前处理的最后一个文件（近期文件，对用户来讲往往很重要）通过附件形式，通过邮件形式寄出，这样用户的很多隐私就有可能在不知不觉中泄露出去。

发作现象：

Worm.Gop.3(QQ窃手）自身捆绑了一个DLL文件，和一个随机的文档，当病毒运行后会在系统目录下释放出一个kernelsys32.exe,然后kernelsys32.exe将自动启动。（此病毒还会在临时目录下将自身带的WORD文件释放出来，并将此文件打开，借此来掩饰自己的行为。）

Kernelsys32.exe会释放出一个IMKERNEL32.SYS的文件，并将IMKERNEL32.SYS注入其他的进程空间内，该文件注入进程空间内后就开始窃取本地的QICP的帐号和密码。然后当QICQ启动时，它会判断当前的窗口标题如果是“QQ用户登录”或是“OICQ用户登录”就将窃取用户输入的密码，并将密码和帐号保存在系统目录下的drocerr.sys文件中，同时备份到系统目录下的drocerrbk.sys文件中。

病毒还会自动查找最近打开过的文件，如果文件是以下类型（bmp、rtf、doc、txt、gif、jpeg、jpg）并且小于80k,病毒就将此文件捆绑在自己后面，形成一个exe文件作为附件发送给别人。这样收信人会以为收到了一个无害的文件，一但在Outlook Express或者windows中预览了这个邮件，会立刻感染这个蠕虫。信件的主题为以下之一： 想念你的模样 想我的小宝贝了 快乐 给我永恒的爱人 我爱你 想念 我在等着你 吻你 你是我的女主角 爱，有时候真的不能去比较的 哎 Fw：姐姐的照片 记得收好我的照片呀！ xue 您的朋友 张 给您寄来贺卡 信件的内容为各种情书。这对于佳节将至的广大用户来说，是很容易被蒙蔽的。

清除Worm.Gop.3(QQ窃手）病毒的方式是用杀毒软件将其全面杀除。

预防Worm.Gop.3(QQ窃手）的办法与多数蠕虫病毒的方法类似：就是不要打开上文提到的主题邮件，其次是警惕陌生邮件，为了避免受到病毒侵袭用户还应使用优秀的防火墙软件――如瑞星防火墙进行防堵预防，并尽快对杀毒软件进行升级。 病毒名称：Hack.QQ2000.Trick

病毒别名：QQ骗子

发作时间：随机

病毒类型：黑客程序

传播方式：网络

警惕程度：★★★★

病毒介绍：

此病毒模仿oicq软件，将用户填写的登录号码和密码发送到指定信箱，从而窃取用户个人信息。由于此程序的外表做得和真正的oicq软件的图标完全一致，所以对于用户造成了很大的迷惑，极易让人上当。

发作现象：

此病毒与真正的QQ有同样的图标，如果用户双击此病毒文件，病毒即运行，跳出一个信息框，让用户填写邮件地址，而真正的oicq程序是没有此信息框的，所以当出现此信息框的时候，则表明用户正在使用QQ骗子，而不是真正的QQ。与此同时QQ骗子还会在桌面生成一个快捷方式，此快捷方式也与真正的oicq软件的快捷方式相同。用户如果再双击QQ骗子生成的快捷方式的话，又会跳出一个与oicq软件相同的登陆界面，如果此时用户将自己的登录号码和密码填写上去，并按确定键的话，又会跳出一个信息框，显示登录失败，而实际上，与此同时，刚才用户所填写的信息已被发送到病毒制造者所指定的信箱中，从而用户的私人信息便被泄露出去了。 2003年10月以来网上出现一种叫做“QQ尾巴(Trojan.QQ3344)”的木马病毒。该病毒会偷偷藏在你的系统中，当 你在使用QQ的时候，它会自动寻找QQ窗口，给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息，如果有人信以为真点击该链接的话，将会感染上病毒，并且成为病毒的传播源。

一、该病毒的主要特征：

这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。

QQ收到信息如下： 1. HoHo~~ ***刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。 2. 呵呵，其实我觉得这个网站真的不错，你看看**** 3. 想不想来点摇滚粗口舞曲，中华 DJ 第一站，网址告诉你***********不要告诉别人 ~ 哈哈，真正算得上是国内最棒的 DJ 站点。 4.*** 帮忙看看这个网站打不打的开。 5. *** 看看啊。我最近照的照片~ 才扫描到网上的。看看我是不是变了样？ 二、解决方法：

1．在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在QQ后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2．随时升级杀毒软件。

3．安装系统漏洞补丁

由病毒的播方式我们知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。 警惕程度：★★★★

发作时间：随机

病毒类型：木马病毒

传播方式：QQ软件

感染对象：QQ用户

依赖系统： WIN9X//NT/2000/XP

病毒介绍：

该病毒运行后会偷偷藏在用户的系统中，并修改注册表进行自启动。发作时会寻找QQ窗口，每隔1分钟就给被感染用户的所有线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 病毒运行时会将自身复制到系统目录下，命名为：WebAuto.exe。

2. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run启动项中添加键值WebAuto.exe,该键值的内容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。

3. 病毒会将用户系统中的IE默认首页改为：*********** ，使用户一上网就中招。

4. 病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息： 1. 激情电影爽啊！给你也推荐一下，完全免费--； 2. 快去这看看，里面有蛮好好东西--； 3. 上次看了个网站不错，去看看吧--； 在这些消息之后还伴随着一个恶意网址诱骗用户点击。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了QQ 连发器（Trojan.WebAuto、Trojan.WebAuto.a)病毒。 病毒类型：木马病毒

传播途径：QQ软件/网络

依赖系统： WINDOWS 9X/NT/2000/XP

病毒介绍：

2004年2月27日，瑞星全球反病毒监测网率先截获一个传播非常迅速，破坏性很强的的恶性木马病毒，并命名为“美女杀手 (Trojan.Legend.Syspoet.b)”病毒，该病毒通过QQ发送虚假消息给在线好友，导致在线好友上当。病毒会将自己伪装成网址，当用户点击该网址时会出现一副美女照片，当照片被打开的时候用户的电脑则已经被病毒感染。

该病毒会利用微软浏览器的漏洞进行攻击，浏览器版本级别低于IE6.0 SP1的电脑染毒后，病毒会修改一些文件的关联，导致象OFFICE软件、任务管理器、注册表编辑器等程序无法使用，该病毒还会破坏资源管理器，只要用户打开目录的深度超过五级，病毒就自动关闭浏览器。该病毒会干掉含有“杀毒”字样的窗口，因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登陆等现象。另外该病毒会修改用户电脑的系统配置，导致用户重启系统时无法进入“我的电脑”。

病毒盗取《传奇》游戏的密码和其他信息，并通过十几个邮件服务器向外发送大量的病毒邮件，阻塞网络。据瑞星反病毒工程师介绍，没有被感染的用户可以通过个人防火墙来预防该病毒，当用户发现有Mshta.exe的程序访问外部网络时，应该立刻禁止，如果该程序访问网络成功，将会对用户电脑产生上述破坏。

病毒的特性、发现与清除：

1. 病毒用VB语言编写，采用UPX压缩。

2. 病毒一旦执行，病毒将自我复制到系统文件夹，并重命名为随机文件名的可执行文件。

3. 病毒将在注册表启动项下，创建随机注册表键值来使自己随Windows系统自启动。

4. 终止带有下列字眼的程序的执行：瑞星、金山毒霸、江民、专杀、毒、木马、防火墙、监控、注册表编辑器、任务管理器、进程列表、进程管理、Antivirus、Trojan、REGSNAP、REGSHOT、REGISTRY MONITOR、W32DASM。

5. 通过QQ发送虚假消息给在线好友，导致在线好友上当。

6.盗取游戏“传奇”的各种信息，将盗取的信息发送到可配置的指定邮箱。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“美女杀手(Trojan.Legend.Syspoet.b)”病毒。 该病毒采用VC++(SDK)编写，是一个通过QQ传播的病毒。

一、病毒评估

1．病毒中文名：QQ女友

2．病毒英文名：Worm.LovGate.v.QQ

3．病毒大小：53,248 字节

4．病毒类型：蠕虫病毒

5．病毒危险等级：★★★★

6．病毒传播途径：网络

7．病毒依赖系统：WINDOWS9X/NT/2000/XP

二、病毒的破坏

利用QQ发送诱惑信息，导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友，致使不明真相的用户上当。

三、病毒报告

1.复制自己到系统目录：

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2.修改如下注册表键值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

S0undMan = %SYSDIR%\SVCH0ST.EXE 3.病毒运行后将建立一个HTTP服务器，监听TCP端口20808

该功能将响应远程的下载请求，将本地的病毒文件复制到远程机器。

4.病毒搜索QQ聊天软件，向在线的好友发送诱惑信息，内容如下：

“你是那样地美，美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。

留给我印象最深的是你那双湖水般清澈的眸子，以及长长的、一闪一闪的睫毛。

像是探询，像是关切，像是问候。

这是你需要的东西：

下载地址1

http://*.*.*.*：：20808//%DRIVE%c:\\filename.exe

下载地址2

http://*.*.*.*：：20808//%DRIVE%c:\\filename.exe”

上面的内容头部也可能为下列之一： 其实，我最先认识你是在照片上。照片上的你托腮凝眸，若有所思。那份温柔、那份美感、那份妩媚，使我久久难以忘怀 远远地，我目送你的背影，你那用一束大红色绸带扎在脑后的黑发，宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。 你蹦蹦跳跳地走进来，一件红尼大衣，紧束着腰带，显得那么轻盈，那么矫健，简直就像天边飘来一朵红云。 你笑起来的样子最为动人，两片薄薄的嘴唇在笑，长长的眼睛在笑 春花秋月，是诗人们歌颂的情景，可是我对于它，却感到十分平凡。只有你嵌着梨涡的笑容，才是我眼中最美的偶象。 你其有点像天上的月亮，也像那闪烁的星星，可惜我不是诗人，否则，当写一万首诗来形容你的美丽。 你是一尊象牙雕刻的女神，大方、端庄、温柔、姻静，无一不使男人深深崇拜。 在风吹干你的散发时，我简直着魔了：在闪闪发光的披肩柔发中，在淡淡入鬓的蛾眉问，在碧水漓漓的眼睛里……你竟是如此美丽可人！ 你是花丛中的蝴蝶，是百合花中的蓓蕾。无论什么衣服穿到你的身上，总是那么端庄、好看。 你那瓜子形的形（编者注：该字疑为病毒作者笔误），那么白净，弯弯的一双眉毛，那么修长；水汪汪的一对眼睛，那么明亮 其中*.*.*.*为本机地址，%filename%为下列之一： c:\setup.exe c:\hello.exe c:\flash c:\123456.exe c:\pass.exe c:\game.exe c:\my_photo.exe c:\update.exe c:\mp3.exe c:\666666.exe 这些都是病毒本身。

5.鉴于该病毒的特殊性，尤其是女性的使用QQ的用户，请看到上述信息时请不要上当。

四、病毒解决方案：

1.进行升级

瑞星公司将于2004年3月12日当天进行升级，升级后的软件版本号为16.17.20,该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站

2.使用专杀工具

鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，

3.使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径

4.打电话求救

如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话。

5.手动清除

⑴打开任务管理器查看是否存在进程名为： INTERNET.EXE或SVCH0ST.EXE,终止它

⑵打开注册表编辑器，删除如下键值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

S0undMan = %SYSDIR%\SVCH0ST.EXE ⑶将%WINSYS%目录下的文件： SVCH0ST.EXE和SVCH0ST.EXE删除

注：%WINSYS%位Windows系统的安装目录，在win9x,winme,winxp下默认为：C:\WINDOWS\SYSTEM,win2k下默认为：C:\WINNT\SYSTEM32。

五、安全建议：

qq病毒

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全。

常见的QQ病毒有哪些

一.“ QQ尾巴”病毒

病毒主要特征:

这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。

QQ收到信息如下：

1. HoHo~~ **.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。

2. 呵呵，其实我觉得这个网站真的不错，你看看***.com/

3. 想不想来点摇滚粗口舞曲，中华 DJ 第一站，网址告诉你**.com.。不要告诉别人 ~ 哈哈，真正算得上是国内最棒的 DJ 站点。

4. http//***.com 帮忙看看这个网站打不打的开。

清除方法：

1．在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在QQ后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2．安装系统漏洞补丁

由病毒的播方式我们知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

二. QQ“缘”病毒

病毒特征：

该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

病毒会利用QQ发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”；“1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息，消息里的链接是病毒网址。

清除方法：

使用了下面的办法将其彻底删除。

找到下列文件:

C:\windows\system\noteped.exe

C:\windows\system\Taskmgr.exe

C:\Windows\noteped.exe

C:\Windwos\system32\noteped.exe

删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉

注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"找到"Taskmgr" 删除

如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:

1.在任务栏上点击鼠标右键，选择任务管理器

2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

3.点击开始-运行，输入Regedit进入注册表

4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，将Taskmgr"项删除"。

删除后重启计算机，《缘》QQ病毒宣布彻底删除。

另外提醒大家，尽快更新你的IE到IE6 SP1（立即下载） 这样可以减少很多的IE被改机会。

三、“QQ狩猎者”病毒

病毒特征：

1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网： "

2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件 b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中，文件名为"b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。

3、复制文件:

A、复制病毒体到 %SystemRoot% 文件夹中，文件名为"Rundll32.exe"；

B、复制病毒体为 "C:\cmd.exe";

C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件关联

A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下键值：默认="C;\cmd.exe %1 *"

B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值：默认="""%1"" %*"

C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值：默认="""%1"" %*"

6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载.

清除方法:

A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能；

B、重新启动到安全模式下；

C、先将regedit.exe改名为regedit.com，再用资源管理器结束cmd.exe进程，然后运行regedit.com，将EXE关联修改为""%1" %*"，再删除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。对于Win9x系统，还要删除%SystemRoot%\Rundll32.exe，再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件，文件大小为11184字节，如果有，将其删除。

D、清理注册表:

打开注册表，删除主键 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的键值为 "%1" %*

防范措施：

不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。

四、“武汉男生”病毒

病毒特性：

此病毒是“武汉男生”的一系列新变种，病毒发作后会利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息来诱使用户点击，该网页利用了IE的Object Data漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。

该变种较明显的特点是，病毒运行后，除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。

(1)如果点击病毒网页，将会显示美女图片，而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器；

(2)病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具；

(3)每隔一段时间给QQ网友发送信息

(4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加：

“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\windows；c:\winnt 等。

(5)修改文本文件（*.txt）关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒。

(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。

清除病毒

1、删除病毒在系统目录下释放的病毒文件

2、删除病毒在注册表下生成的键值

3、运行杀毒软件，对病毒进行全面清除

五、“爱情森林”病毒

（一）病毒特征

该木马程序原始文件名为hack.exe，用Delphi编写，并用UPX进行了压缩。木马程序被运行后会：

1、复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录）

3、该木马程序还会在站点下载文件update.exe，

并执行下载下来的程序，进行其它的破坏活动。

清除方法

(1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

（二）变种一病毒特征

该病毒运行后会：

1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下，并分别更名为rundll.exe和sysedit32.exe。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe"，使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。

3、修改注册表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe，关联记事本，使用户打开txt文件时木马程序能获得运行机会。

4、该木马会通过QQ程序向其它的QQ用户发送“，你快去看看”

的消息，诱导用户浏览含有恶意代码的网页。

5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是，由于病毒作者使用了一个组件来发送邮件，因此当木马程序执行发送邮件的操作时，该组件可能会弹出两个对话框，其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”，另外一个对话框为“Cannot open file .mima.txt”。

清除方法

(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。

(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件（文件大小为1781752字节）。

(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

(4)若根目录下存在文件setup.txt或mima.txt,将其删除。

（三）变种二病毒特征

该木马程序被包装在一个名为s.eml的邮件中，并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时，邮件中的木马程序（Hack.exe）就会自动运行。

木马程序被运行后会：

1、复制自身到Windows系统目录（通常为windowssystem）下，改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会使用户误认为这是一个正常的系统文件。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录）

3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“去看看，很好看的”，

当用户点击该网址浏览时，木马程序就会被再次激活，从而使该木马通过QQ聊天工具不断地传播自己。

清除方法：

(1)打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

（四）变种三病毒特征

该病毒运行后会：

1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下，并分别更名为rundll.exe和sysedit32.exe。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe"，使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。

3、修改注册表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe，关联记事本，使用户打开txt文件时木马程序能获得运行机会。

4、修改注册表，修改IE浏览器的默认页，开始页，起始页。

5、该木马会通过QQ程序向其它的QQ用户发送“，你快去看看”

的消息，诱导用户浏览含有恶意代码的网页。

6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。

清除方法：

(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。

(2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件（文件大小为1781752字节）。

(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

(4)恢复IE的设置。打开注册表编辑器，恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。

（五）变种四病毒特征

该木马程序用Delphi编写，并用UPX进行了压缩，但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征，因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会：

1、复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。

2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录）

3、该木马程序还会在站点下载文件update.exe，

并执行下载下来的程序，进行其它的破坏活动。

清除方法

(1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值

六、“QQ女友”病毒

病毒特征：

利用QQ发送诱惑信息，导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友，致使不明真相的用户上当。

1.复制自己到系统目录：

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2.修改如下注册表键值病毒自启动的伎俩：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = "INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

3.病毒运行后将建立一个HTTP服务器，监听TCP端口20808

该功能将响应远程的下载请求，将本地的病毒文件复制到远程机器。

4.病毒搜索QQ聊天软件，向在线的好友发送诱惑信息，内容如下：

“你是那样地美，美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。

留给我印象最深的是你那双湖水般清澈的眸子，以及长长的、一闪一闪的睫毛。

像是探询，像是关切，像是问候……………………

这是你需要的东西:

下载地址1

http://*.*.*.*：:20808//%DRIVE%c:\\filename.exe

下载地址2

http://*.*.*.*：:20808//%DRIVE%c:\\filename.exe”

其中*.*.*.*为本机地址，%filename%为下列之一：

"c:\setup.exe"

"c:\hello.exe"

"c:\flash.com"

"c:\123456.exe"

"c:\pass.exe"

"c:\game.exe"

"c:\my_photo.exe"

"c:\update.exe"

"c:\mp3.exe"

"c:\666666.exe"

这些都是病毒本身。

5.鉴于该病毒的特殊性，尤其是女性的使用QQ的用户，请看到上述信息时请不要上当。

清除方法

（1）打开任务管理器查看是否存在进程名为: INTERNET.EXE或SVCH0ST.EXE,终止它

（2）打开注册表编辑器,删除如下键值如果存在的话:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = "INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

（3）将%WINSYS%目录下的文件: SVCH0ST.EXE和SVCH0ST.EXE删除

注:%WINSYS%位Windows系统的安装目录，在win9x,winme,winxp下默认为:C:\WINDOWS\SYSTEM,win2k下默认为:C:\WINNT\SYSTEM32。