QQ蜜

新客网 XKER.COM 2007-04-24 收藏本文

　 Adware/Downloader.QQhelper.cb,“QQ蜜”，如其名，很粘，江民2006每次都能查到它，就是不能清除。没办法，只得找到它感染的文件——ntstub.dll，将其删除。又发现在普通模式下不能删除。只好进入安全模式，然后强行将其删除。继续进入普通模式，查毒，病毒消失。
QQ蜜”变种hcp（Adware/Downloader.QQHelper.hcp）是一个恶意广告程序，随QQ多表情软件安装到用户计算机中。“QQ蜜”变种hcp运行后，会在system32文件夹下释放病毒文件res.exe，并修改注册表实现开机自启。它能够自我隐藏，干扰IE正常运行，使系统运行速度变慢。
Adware/Downloader.QQHelper.gzp“QQ蜜”变种gzp是一个QQ多表情间谍广告程序,采用VC++.Net编写。“QQ蜜”变种gzp运行后,修改注册表,实现开机自启。采用Rootkit技术隐藏自我,防止被查杀。
Adware/Downloader.QQhelper.cb,“QQ蜜”，江民2005每次都能查到不能清除。找到它感染的文件——ntstub.dll，将其删除。又发现在普通模式下不能删除。只好进入安全模式，然后强行将其删除。继续进入普通模式，查毒，病毒消失。
Adware/Downloader.QQhelper.gr“QQ蜜”变种gr是一个QQ多表情间谍广告程序，采用VC++.Net编写。“QQ蜜”变种bs运行后，修改注册表，实现开机自启。采用Rootkit技术隐藏自我，正常模式下无法删除，请到安全模式下进行全盘查杀即可。
解决方案
1 请及时升级杀毒软件，开启BOOTSCAN功能及各项监控，防止冲击波、震荡波等恶性病毒攻击用户计算机。
2 不要乱上不明不白的网站,看到好看的QQ表情要谨慎

手动删除病毒

1.查找进程rundll32.exe k掉
2.如果有 .exe（注意是一个特殊字符不是空格）进程，k掉
3.定位[HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand]
改默认键值为 `notepad %1` （注意前面没有那个类似于空格的特殊字符）
4.定位 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

改默认键值为 `%1` %* （注意前面没有那个类似于空格的特殊字符）
5.定位[HKEY_LOCAL_MACHINESOFTWARE\TENCENT\QQ]
得到你的qq目录，再转到你的qq目录下

可发现有两个文件
TIMPlatform.exe
TIMP1atform.exe (注意是1不是L)
删除TIMPlatform.exe（病毒，为winrar图标），把TIMP1atform.exe改名为TIMPlatform.exe
6.病毒文件删除,下面是要删除的病毒文件（都为winrar图标）,假设windows目录为c:winnt
c:winntsystem undll32.exe
c:winntsystem32?.exe
c:winntsystem32 otepad?.exe

*为你的系统打上此病毒`补丁`*
打此补丁后以后不会再中此病毒

定位注册表项（没有则新建）

HKEY_LOCAL_MACHINESOFTWAREClassesMSipv

添加一键值
MainVer 类型为REG_DWORD,值为ffffffff（16进制）
病毒启动判断状态参数完毕后会查询此值，如当前版本值比它小则会弹出个对话框就退出。
我得到的病毒版本值为505

编辑词条