手动查杀当前QQ流行病毒

monliu

聊天工具QQ用户甚多，各种病毒木马以及流氓软件也利用它大肆传播，一旦染上就难以清除，还常常危及他人。近期，QQ病毒又有了抬头之势，不仅危害更大，其花样也是推陈出新，让人放不胜防。下面就为大家介绍几个与QQ相关的病毒木马以及流氓软件的应对办法，中招的朋友可以对症下药，没中招的朋友也可引以为戒。

& F6 t! b5 Q. ~8 l  X# D) p　　QQ弹出式广告木马
1 U' V9 l) d( }! N3 s& z
　　该木马会伪装成QQ式的弹出广告，随时在屏幕右下角弹出广告窗口。将鼠标放到该窗口中，鼠标会变成手状，点击窗口任意处即可打开浏览器链接到广告网页，而正规的QQ弹出广告窗口中大多为文字或图片说明，只有点击说明中的链接才能打开网页。所以该弹出广告窗口实为一个网页链接木马，大家要认真区分。
% f/ P" B2 C8 B
* |% m8 [% h( c6 {$ t& a0 C　　解决办法：该木马会在C:\Windows目录中建立了一个“Backup”文件夹，并且采用自动加载和监视备份文件功能，使你在安全模式下也无法手动清除该木马。解决办法是使用批处理功能，在木马程序重建备份之前抢先删除它。

* r: Q; e, u+ W6 A% i5 b' M　　重新启动机器，按F8键选择安全模式进入系统。新建文本文档，输入：
& S2 @) p* m' U- N$ U4 Y2 f
& t9 i$ I( J- E$ K6 m: y; N- Y　　“Move c:\windows\backup c:\windows\bak(将Backup目录重命名为Bak)
2 ]- z& s' Y  p! U4 {% w1 {
8 T8 C6 J! `% A5 x  n* V) B　　Md c:\windows\backup(在C:\windows下建立Backup目录)”，

　　接着点击“文件/另存为”选项，将文件名更改为“QQ广告.bat”进行保存。

　　提示：括号内的说明不用输入，下同。

　　运行该批处理文件后，立即将“C:\windows”文件夹中的“Bak”文件夹删除，完成了木马备份文件的删除。接着再新建一个文本文档，输入：
1 w+ h) Y1 i& z4 |5 O* n
( m3 S9 i- A4 S: f　　“cd c:\(将当前路径改为C:盘的根目录)
& Z' L% Y% r" n3 F
& D3 X$ n( Z3 A' \/ _　　cd C:\windows\Downloaded Program Files(更改当前路径)
7 ^5 _. l( k, r0 k+ b# F6 ], c
6 k1 g- e# I7 @" O　　C:\windowsDownloaded Program Files move _IS_0518 c:\bak(移动相关文件夹)”
! A0 I! F8 K0 @# X
　　然后点击“文件/另存为”选项，保存为“QQ广告2.bat”文件。双击运行后，将C盘的“Bak”文件夹删除，再进入“C:\windows”目录，删除Backup文件夹，即完成了木马文件的清除。
! K' \9 X/ D; r6 s6 n) l
　　最后在“运行”对话框中输入“Regedit”，打开“注册表编辑器”窗口，分别将“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32”和“HKEY_CURRENT_USER/Software/advapi32”两个键值删除即可。
% c* B6 p1 _0 q* V8 j5 m
- t" Q1 c7 ]2 o: u　　多多QQ表情
; r3 Q' q- }! a1 ~. H
$ F) a( b% _* g" G5 `* A9 A. S! B- N　　“多多QQ表情”是一个流氓软件，大多与其它软件进行捆绑安装。一旦安装上“多多QQ表情”后，其包含的“Update”文件会创建“Updata.exe”进程，并对系统作一系列改动，生成大量恶意文件。IE浏览器主页会被篡改，使用自带的卸载程序无法将它卸载干净。
) U& }* ?1 f' w1 N  ^. r% v) N
　　解决办法：要想手动将“多多QQ表情”清除干净，先打开“运行”对话框，输入“%ProgramFiles%\qqhelper\uninstall.exe”，点击“确定”按钮卸载“多多QQ表情”程序。 接着打开“任务管理器/进程”窗口，结束“diskman.exe”进程。然后再打开“运行”对话框，输入“services.msc”，点击“确定”按钮后打开“服务”窗口，找到“Universal Disk Manager”服务，将其设置为禁止。再将“C:\Program Files\Common Files\SAN”文件夹和“C:\Program Files\Common Files\Upd”文件夹删除。
. c+ T3 a0 [, c5 |
　　接着打开“注册表编辑器”窗口，在左侧窗格依次点击“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”项，在右侧找到“Update"="%ProgramFiles%\Common Files\Upd\update.exe”键值，将其删除。
) _( E, X' Y/ x1 H
% d, B1 w( @7 }( I% W& C# L　　然后在桌面用右键单击“我的电脑/属性/硬件/设备管理器/查看/选中“显示隐藏的设备”选项，接着在设备列表中展开“非即插即用驱动程序”选项，找到“Universal Disk Manager”，右键选择“卸载”。

$ t) d, |: T; c! f　　最后再打开“注册表编辑器”窗口，在左侧窗格中依次点击“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项，找到“Universal Disk Manager”键值，将其删除，并点击“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root”项，删除 “LEGACY_Universal Disk Manager”即可。

" l: P9 ?# O# ?1 ~2 i$ I　　杀灭QQ乐病毒

, g: z9 e7 i' z0 n) g  H( L( w　　“QQ乐”病毒（Worm/QQMsg.Lee）会自动搜索QQ用户中的好友，不断向他们发送包含一串网址的消息。好友在点击网址链接登陆网站后，就有可能会感染该病毒。

　　解决办法：“QQ乐”病毒会创建“System32.exe”进程和一个名为“Lee”的管理员帐户。会在每个分区根目录下创建“Autorun.inf”文件和“System32.exe”、“System32dll.dll”文件。由于“Autorun.inf”是自运行文件（常用于自启动光盘），这样在双击任意分区盘符时就会使系统自动执行该“Autorun.inf”文件的命令，以达到运行“System32.exe”“System32dll.dll”病毒文件的目的。接着用搜索查找“Lee”关键字，会找到一个创建管理员账户的批处理文件“Admin.bat”。最后将每个分区根目录下的“Autorun.inf”、“System32.exe”和“System32dll.dll”文件删除，再将搜索到的“Admin.bat”文件删除即可。
% S9 Y! p- A8 x
( F- ~7 k2 m7 e0 ^1 R　　QQ龟病毒的查杀

. W4 i9 C+ K: {　　一旦感染了“QQ龟病毒”（Trojan/QQMsg,Zigui.b），你的电脑便会出现这样的症状：自动给QQ好友发送文件，而且文件名为“……白骨精……”、“一个对你工作有益的东西”等等。该病毒被金山毒霸网站上排列在2005年十大病毒之第四位。
6 X8 Z8 }. o0 V" X
+ N. j" X8 R7 T　　解决办法：打开任务管理器，结束掉RUNDLL32.EXE和TIMP1atform.exe（注意P后面是数字1）进程。
( g" l9 S5 D7 Y+ U8 M: r
" @# [" [8 N% R6 I. N" K5 {　　设置让Windows显示隐藏文件，找到以下文件并且将其删除：%System%\?.exe

! H$ l$ D  R0 m5 B5 d5 V　　%System%\notepad?.exe和%Windir%\System\RUNDLL32.EXE；还要删除QQ目录中的TIMP1atform.exe（P后面是数字1，别删错了）。

& i1 Y% M4 y& b6 ^5 F　　打开注册表编辑器。删除“HKEY_LOCAL_MACHINE\Software\Classes\Msipv”和“HKEY_CURRENT_USER\Software\Classes\Msipv”下的“MainSetup”、“MainUp”、“MainVer”三个DWORD键值。

　　最后通过修复EXE和TXT文件关联，重新启动即可。

rulingdanny

非常感谢lz提供。