关于爱虫的手动清除方法（转帖）

发帖时间：2005-07-23 18:01:48

分页：第一页 [1-50] 下一页尾页 [新开阅读] [只看楼主] [刷新本帖]

[楼主] [每日必看] [大字小字]
关于爱虫的手动清除方法（转帖）

本帖转自金山社区毒霸论坛病毒救援区的“病毒救援一周综述（5月23日--5月29日）”

在这一星期中，最近新流行的QQ发送文件病毒情况比较严重，这是继前段时间那个MyRunner什么Hansoft的那个QQ发送文件病毒后又一个广为流传的QQ发送文件病毒。

相关病毒文件：
~!KqVo4c.exe
comime.exe
DHelp.dll
msinthk.dll
QQDHelp.dll
wmimgr.exe

病毒通过QQ发送文件的方式传播，发送的文件名极具诱惑，以<文件名>.jpg.exe的形式发送，图标见附件。

病毒需要接收并运行后才会感染系统，运行后会显示一个错误对话框。
病毒在注册表中添加一下信息，禁止用户打开“任务管理器”和“注册表编辑器”：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr“=“0“
“DisableRegistryTools“=dword:00000001

在注册表中添加标志信息：HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
还会查找瑞星和QQ的信息，据说发现瑞星会删除瑞星的文件：
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav

病毒自身复制到系统目录下，文件名为wmimgr.exe。

病毒还会修改一些系统程序文件和QQ程序文件，在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息，会被修改的系统文件有：
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
还有一些QQ程序也会被修改，比如QQGame.exe等。
注：当系统文件被修改时，系统会出现这样的对话框。

病毒释放DHelp.dll到以下目录：
%Windows%\
%System%\
%System%\wbem\
QQ目录，如%ProgramFiles%\Tencent\QQGame\
释放QQDHelp.dll到%ProgramFiles%\Tencent\目录。

添加自启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Windows Management Instrumentation“=“wmimgr.exe“

病毒还会从网站上下载另一个盗密码的病毒程序到系统中：
%USERPROFILE%\Local Settings\Temp\
~!KqVo4c.exe
~H32Jvk.jpg

复制自身到系统目录，文件名为comime.exe，释放msinthk.dll。

建立自启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“mssysint“=“comime.exe“

清除步骤：
这次的清除不像以前清除一般木马病毒那么简单，因为它还修改了系统文件，所以有几个步骤可能会繁琐一些。

首先，我们还是先把病毒的进程结束掉：
%System%\wmimgr.exe
%System%\comime.exe
然后搜索并删除病毒文件：
%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll

病毒文件删除以后，我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置，方法很多，这里就不一一介绍了。

接下来就可以到注册表编辑器删除病毒建立的启动项了：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“mssysint“=“comime.exe“
“Windows Management Instrumentation“=“wmimgr.exe“

注：HKEY_LOCAL_MACHINE\SOFTWARE\TopFox，这个位置应该是病毒建立的“标志”，该位置如果存在，貌似病毒运行后不会进行过多的“动作”，且会自动退出进程。
故可以不删除。

好了，病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件，所以我们先要恢复%System%\dllcache\下的系统文件。

explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到，比如安装光盘或ServicePack保存的目录，也可以从其它相同操作系统（相同SP）中复制过来。

如果是从安装盘I386目录下找，可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件，通过expand命令可以解压缩它们，命令类似：

expand explorer.ex_ explorer.exe

得到正常的源文件后，我们依次进行覆盖操作。
先覆盖：
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然后再覆盖或删除：
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe

对于被修改的QQ文件，方便的话重装覆盖一下QQ即可。

通过以上操作应该可以解决问题，以后要注意的是多多提高自己的安全防护意识。

***************************************************************
以下为个人经历
1 中毒之后立即用杀毒工具扫描（推荐用nortron）

2 搜索并删除~!KqVo4c.exe/comime.exe/DHelp.dll/msinthk.dll/QQDHelp.dll/wmimgr.exe

3 最重要的是注册表，任务管理器被禁用了。我的办法是下载了瑞星的注册表修复工具RegClean.exe,扫描修复注册表；然后就可以进入注册表了，查找删除~!KqVo4c.exe/comime.exe/DHelp.dll/msinthk.dll/QQDHelp.dll/wmimgr.exe

点我试试，注意左边列表哦：
手动