最近病毒缠身,帖两个病毒的解决方法.
se.dll利用rundll32.exe调用se.dll文件加载病毒程序,病毒文件存放于临时文件夹“C:\Documents and Settings\Administrator\Local Settings\Temp”中,其运行于系统后台,隐蔽性很强。中毒现象为:系统经常弹出连接网络对话框,打开IE,将看到一页警告你计算机有木马程序的英文页面,且地址栏无页面地址显示,注册表中“[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]”、“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]”及“[HKEY_USER\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main]”下面的Search Page项值都被更改为“res:// c:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\se.dll sp.html”并且“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run]”下添加了一个sp键,值为“rundll32 c:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\se.dll”。经过本人研究,解决方法如下:
1、打开“window任务管理器”,在“进程”标签中禁止“rundll32.exe”进程,该进程可能有多个,能禁止的全部禁止。
2、安装“上网助手”,使用里面的“清理痕迹→全面清理”和“修复IE→全面修复”。
3、打开注册表,删除“[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\CurrentVersion\Run]”下的“sp”键。
4、删除C:\Documents and Settings\Administrator\Local Settings\Temp”中的“se.dll”文件。
QQTalk
症状:
在使用qq时收到exe文件,运行后,不断向qq好友发送这类文件,发送这类文件的文件名为:
好漂亮的动画哦,可以打开看看吧.exe、一个对你目前工作很有帮助的东东.exe、你一定需要的工作资料(网上找到的).exe、接啊,快接啊,推荐给你看看.exe、QQTalk(QQ聊天秘籍,给你看看吧).exe、网上电视(20个CCTV频道+36个省台+50个英文台,极力推荐).exe、啊哈,网友发的超级搞笑FLASH,你看得懂吗.exe、笑死我了,你看过这个FLASH吗.exe、今年过年不收礼,收礼只收白骨精(搞笑版广告).exe、超级MM,超级FLASH,请笑纳.exe
该病毒运行后,会显示出一个图片“安装时检测到系统中某程序与本软件发生冲突,请先纠正该冲突,或选择另一台电脑上安装!”,同时生成%System%\.exe、%System%\notepad.exe、%Windows%\System\RUNDLL32.EXE、DSnk.exe(可能)、VSnk.exe(可能)、myup.exe(可能)、TIMP1atform.exe(qq文件夹下,注意是1不是l)
会在注册表:
Software\Classes\MSipv
下加入MainSetup、MainUp和MainVer三项DWORD
同时修改exe和txt关联:
Software\Classes\txtfile\shell\open\command
Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“ %1 %*”
TXT文件关联被修改为“notepad.exe %1”
除此之外,还会远程下载更新程序:
http://www.mxm9191.com/myrunner_up.exe(该url无效)
http://www.zigui.org/article.php?id=103601
清理方法:
首先,按删除 HKEY_LOCAL_MACHINE\Software\Classes\MSipv下的MainSetup、MainUp和MainVer三项.
再修改 HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command下的默认项的值为 : "%1" %*
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command下的默认项的值为 : notepad %1
打开任务管理器,结束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是数字1)。
然后让Windows显示隐藏文件,找到以下文件并且将其删除:
%System%\.exe
%System%\notepad.exe
%Windir%\System\RUNDLL32.EXE
QQ目录中的TIMP1atform.exe(注意是数字1不是字母l,别删错了)
然后打开注册表编辑器删除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三项DWORD键值。
最后通过注册表修复工具修复EXE和TXT文件关联,重新启动即可。