POPPUR爱换

 找回密码
 注册

QQ登录

只需一步,快速开始

手机号码,快捷登录

搜索
查看: 2168|回复: 5
打印 上一主题 下一主题

手动删除QQ自动传文件病毒

[复制链接]
1#
发表于 2005-8-28 11:23 | 只看该作者
UP
回复 支持 反对

使用道具 举报

2#
发表于 2005-8-28 17:35 | 只看该作者
不 知道用 普通杀毒软件 会不会 好点...
回复 支持 反对

使用道具 举报

3#
发表于 2005-8-31 08:47 | 只看该作者
原来成龙是病毒高手啊~~
回复 支持 反对

使用道具 举报

4#
发表于 2005-9-1 17:18 | 只看该作者
高手~~
平常人只会去用软件杀的!
回复 支持 反对

使用道具 举报

jcsqxyl 该用户已被删除
5#
发表于 2005-9-3 15:42 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

6#
 楼主| 发表于 2005-8-28 04:25 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
不清楚叫什么病毒名,只知道很是厉害,会自动向你的好友发文件。前面一大堆状态判断长的不行了,代码就不帖了,不过还是学到了很多东西,来点实际的:)

*手动删除病毒*
1.查找进程rundll32.exe k掉
2.如果有 .exe(注意是一个特殊字符不是空格)进程,k掉
3.定位[HKEY_LOCAL_MACHINESOFTWAREClassestxtfileshellopencommand]
改默认键值为 "notepad %1" (注意前面没有那个类似于空格的特殊字符)
4.定位[HKEY_LOCAL_MACHINESOFTWAREClassesexefileshellopencommand]
改默认键值为 "%1" %*     (注意前面没有那个类似于空格的特殊字符)
5.定位[HKEY_LOCAL_MACHINESOFTWARETENCENTQQ]
得到你的qq目录,再转到你的qq目录下

可发现 有两个文件
TIMPlatform.exe
TIMP1atform.exe (注意是1不是L)
删除TIMPlatform.exe(病毒,为winrar图标),把TIMP1atform.exe改名为TIMPlatform.exe
6.病毒文件删除,下面是要删除的病毒文件(都为winrar图标),假设windows目录为c:winnt
c:winntsystemrundll32.exe
c:winntsystem32?.exe
c:winntsystem32notepad?.exe

*为你的系统打上此病毒"补丁"*
打此补丁后以后不会再中此病毒

定位注册表项(没有则新建)

HKEY_LOCAL_MACHINESOFTWAREClassesMSipv

添加一键值
MainVer 类型为REG_DWORD,值为ffffffff(16进制)
病毒启动判断状态参数完毕后会查询此值,如当前版本值比它小则会弹出个对话框就退出。
我得到的病毒版本值为505
您需要登录后才可以回帖 登录 | 注册

本版积分规则

广告投放或合作|网站地图|处罚通告|

GMT+8, 2024-12-22 19:45

Powered by Discuz! X3.4

© 2001-2017 POPPUR.

快速回复 返回顶部 返回列表