昨晚中了QQ爱虫,因为一个好朋友传了文件给我,而我毫不犹豫的运行了它
(教训:网上无“好友”,如果你没有确定他的身份和他的行为的话,确定身份意味着确定跟你聊天的人的确是他,确定行为意味着是他而不是程序给你发文件)。虽然马上关了QQ但病毒还是入侵了。
中毒症状:无法调出“任务管理器”,无法编辑注册表,运行QQ时会自动给好友发送病毒文件,
1:关了所有程序,升级杀毒软件,开始杀毒。(不要再运行QQ,如果不想把密码暴露的话),嫌疑文件查出了:
C:\Documents and Settings\33\Local Settings\Temp\~!KqVo4c.exe
C:\WINDOWS\system32\comime.exe
C:\WINDOWS\system32\DHelp.dll
C:\WINDOWS\system32\msinthk.dll
C:\WINDOWS\system32\wbem\DHelp.dll
C:\WINDOWS\system32\wmimgr.exe
上网查看得知是中了“QQ爱虫”,了解了感染过程后,杀它就比较容易了。
1:去下载一个金山毒霸--注册表修复器,解开注册表,将
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = 1
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = 00000001
两项删除,恢复“任务管理器”。
2:重启机器,按F8进入安全模式,终止下列进程
D:\WINNT\system32\wmimgr.exe
D:\WINNT\system32\comime.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint" = comime.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation" = wmimgr.exe
病毒通过以上两项目开机自动运行,删除它。
3:双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示您确定更改时,单击“是”--单击“确定”。
然后找到如下文件并删除(如果有的话)。
D:\WINNT\system32\wmimgr.exe
D:\WINNT\system32\comime.exe
D:\WINNT\system32\wbem\dhelp.dll
D:\WINNT\system32\dhelp.dll
D:\WINNT\system32\msinthk.dll
D:\WINNT\dhelp.dll
kqvo4c.exe(请用开始菜单中的搜索功能查找)
在QQ的安装目录下查找:DHelp.dll ,删除。(这个千万不要忘记了,不然再开QQ病毒又会卷土重来)
OK,完全杀掉了。IE越来越容易死掉,最后决定还是GHOST恢复了一份。