1.
http://www.18hi.com刪除方法
在安全模式下刪除以下文件:
%Windows%\N0tepad.exe(關聯TXT文件,金山影霸RM圖標)
%Windows%\System\N0tepad.exe(關聯TXT文件,金山影霸RM圖標)
%Windows%\System\taskmgr.exe(金山影霸RM圖標)
%Windows%\System\win.dll
%Windows%\System\windll.dll
%Windows%\System32\N0tepad.exe(關聯TXT文件,金山影霸RM圖標)
注意:N0tepad.exe中的0是數字0,不是字母O。
去掉病毒的啟動項信息:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"taskmgr"="%Windows%\System\taskmgr.exe"
最后還要恢復TXT文件關聯。
2.
http://dvd.qq92.com刪除方法
用任務管理器結束smss.exe(一個是系統進程無法結束,一個是病毒可以結束),結束可能存在的intrenat.exe winsym.exe winpass.exe。
然后刪除以下文件:
%WINDIR%\intrenat.exe
%WINDIR%\smss.exe
%System%\winsym.exe
%System%\winpass.exe
刪除注冊表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
3.
http://www.joyiex.com刪除方法
先結束Explorer.exe進程,然后再把Explorer.exe運行起來。
在注冊表編輯器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下Checkedvalue的值為1。
然后刪除以下文件:
%Windows%\bak.exe
%System%\huangjiaju.exe(0字節)
%System%\cc1.exe
%System%\cc2.exe
%System%\cc3.exe
%System%\whboy.exe
%System%\whboy.txt
%System%\whboy***.txt(***為數字)
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe為Shell = Explorer.exe(Windows 9x);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%\whboy.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
一直有變化的主要是%System%目錄下xx1.exe、xx2.exe和xx3.exe這三個文件,如遇變化與上述內容不同請誤死搬硬套,稍做變通可自行解決。
4.
http://www.mydj2005.com刪除方法
在安全模式下刪除:
%System%\down1.exe
%System%\down2.exe
%System%\huangjiaju.exe(0字節)
%System%\migpwda.exe
%System%\migpwdb.exe
%System%\migpwdc.exe(關聯TXT)
刪除病毒的啟動項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
windows update = %System%\migpwda.exe
病毒把TXT文件關聯修改為“%System%\migpwdc.exe %1”,你可以從注冊表中修改或者使用工具(如REGFIX)進行修復。
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe為Shell = Explorer.exe(Windows 9x);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%\migpwdb.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
5.QQ速配
蠕蟲病毒,通過QQ傳播,依賴系統:WIN9X/NT/2000/XP.該病毒用Delphi語言編寫,運行后把自己復制到系統"system32"目錄下,病毒文件名為"Explorer.exe",偽裝成系統文件,修改注冊表實現開機自啟動。病毒會修改ini和txt文件的關聯方式,用戶打開這兩種文件時會先運行病毒。
病毒運行后會駐留內存,查找并結束防火墻和任務管理器,防止病毒被結束。查找QQ聊天窗口,自動發送消息,"哈哈。來看看這個。用QQ昵稱為自己速配情侶,看看和你配的叫什么
http://***快看看",用戶點擊該網址后會中毒。病毒還會從網上下載新的病毒文件,發送的QQ消息內容會隨之更改。
刪除方法
安全模式下刪除%windows%/smss.exe文件
搜索注冊表,所有smss相關的項一概刪除
再修改startpage(就是ie默認的首頁)
注:%System%文件夾默認為:
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
6.
http://www.91tg.net/rm.asp?.rm刪除方法
刪除病毒對注冊表所作的更改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF6}
然后重新啟動刪除以下文件:
%WINDIR%\services.exe
%system%\browscue.dll
%system%\member.exe
%System%\winsocks.dll
還有桌面上和系統盤根目錄下和%Documents and Settings%\“用戶名”下可能生成的a1.exe , a2.exe , a3.exe
7.
http://www.400.net刪除方法
先用任務管理器結束Explorer.exe進程,然后重新運行Explorer.exe,接著刪除以下文件:
%Windows%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***為數字)]——這兩個文件如果有的話
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe為Shell = Explorer.exe(Windows 9x/Me);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%\whboy.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。——重點是那個txt文件,必須先結束Explorer.exe才能夠刪除它。
8.
http://www.joyiex.com刪除方法
先用任務管理器結束Explorer.exe進程,接著刪除以下文件(可以通過WinRAR的主程序刪除文件):
%System%\msapi.exe
%System%\msapi.dll
此病毒已經禁用注冊表編輯器,大家可以在網上搜索解鎖辦法或者使用注冊表修復工具可以輕松解鎖。
其他的幾個是武漢男生2005:
安全模式下,先用任務管理器結束Explorer.exe進程,接著刪除以下文件:
%Windir%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***為數字)]——這兩個文件如果有的話
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe為Shell = Explorer.exe(Windows 9x/Me);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%\whboy.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
9.
http://www.QQ.5qt.net刪除方法
在安全模式下刪除:
%System%\logonuit.exe
%System%\mstinitt.exe(關聯TXT文件)
%System%\windows.exe
刪除病毒加在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下的啟動項:windows update = %System%\logonuit.exe
編輯SYSTEM.INI文件中Shell = Explorer.exe %System%\windows.exe為Shell = Explorer.exe(Windows 9x);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %System%\windows.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
還要恢復TXT關聯。
10.
http://photo.rm510.com/pic.asp?刪除方法
到注冊表編輯器里刪除這些信息:
HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks下的{081FE200-A103-11D7-A46D-C770E4459F2F}
HKEY_CLASSES_ROOT\CLSID\{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler下的{9F352324-0FC5-41b4-99E2-E0757AFFFEF7}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
(默認) = "winmem"
"services" = "%Windows%\services.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"services" = "%Windows%\services.exe"
重新啟動計算機后刪除以下文件:
%Windows%\services.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二個字母是L)
%System%\bhjx.dll
%System%\lnterapi32.dll(lnterapi32.dll的第一個字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一個字母是L)
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是數字0,不是字母O)
%System%\winco.exe
%System%\winco1.exe
%System%\winco2.exe
%System%\winmem.exe
%System%\WinSocks.dll
11.QQ自動發送一些誘惑性名稱的可執行文件(圖標是壓縮文檔的圖標)
打開任務管理器,結束掉RUNDLL32.EXE和TIMP1atform.exe(注意那是數字1)。
然后讓Windows顯示隱藏文件,找到以下文件并且將其刪除:
%System%\.exe
%System%\notepad.exe
%Windir%\System\RUNDLL32.EXE
QQ目錄中的TIMP1atform.exe(注意是數字1不是字母l,別刪錯了)
然后打開注冊表編輯器刪除:
HKEY_LOCAL_MACHINE\Software\Classes\MSipv和HKEY_CURRENT_USER\Software\Classes\MSipv下的MainSetup、MainUp、MainVer三項DWORD鍵值。
最后通過注冊表修復工具修復EXE和TXT文件關聯,重新啟動即可。
12.武漢男生變種
癥狀:
通過發送以下信息誘惑用戶點擊
http://www.4OO.net 幫忙看看這個網站打不打的開。上次看了個網站不錯,去看看吧--
http://www.4OO.net
剛剛在這個網站下載了個免費的QQ秀
http://www.QQ.5qt.net,
你看好看嗎?我現在有好多Q幣了!!!你要不要?要的話趕快去
http://vip.6to23.com/sedvd/FreeQB.htm 免費申請!遲了就沒啦!!快~這個網站送QQ幣了,
http://vip.6to23.com/sedvd/FreeQB.htm 一個QQ號可以申請28個QQ秀的衣服 好像這個網站的電影不錯~~
http://178dx.com/vod/
這個視頻聊天室人真多,
http://r123.net/liao.htm 我們也去這個聊天室群體視頻聊天好不好這個網站送QQ幣了,
http://vip.6to23.com/sedvd/FreeQB.htm 一個號碼最多可以申請28個QQ幣
http://4OO.net/lj/lj.exe/2EoX2S
清除:
刪除這個啟動項:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
QQServer = %WINDOWS%\QQ.exe
在安全模式下刪除以下文件:
%WINDOWS%\QQ.exe
13.
http://www.3721see.com/myfriend/index.htm:刪除方法
在安全模式下刪除:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL
%System%\SP00LSV.EXE
%System%\system32.exe
并刪除它們的啟動項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
slime = %System%\slime.exe
appService = %System%\Service.exe
system32 = %System%\system32.exe
slService = %System%\slserve.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce]
ScanRegedit = %System%\SP00LSV.EXE
14.
http://www.4755.net刪除方法
如果系統是Windows 9x,病毒將系統原來的Internat.exe和Rundll32.exe復制到C盤根目錄,把自己以Internat.exe和Rundll32.exe文件名復制到它們原來的位置,所以在刪除了病毒文件后要把C盤根目錄下病毒“好心”備份的原系統文件復制回去。
在安全模式下刪除:
%Windows%\Cqdll.dll
%Windows%\delttoul.exe
%Windows%\lsass.exe
%Windows%\MlcrosoftSound.wav(MlcrosoftSound.wav的第二個字母是L)
%Windows%\rundll32.exe
%Windows%\services.exe
%Windows%\smss.exe
%Windows%\ywin32.dll
%System%\cq0dll.dll
%System%\hiddukel.dll
%System%\huangjiaju.exe
%System%\lnterapi32.dll(lnterapi32.dll的第一個字母是L)
%System%\lnterapi64.dll(lnterapi32.dll的第一個字母是L)
%System%\slsorve.exe
%System%\SVCH0ST.EXE(SVCH0ST.EXE中的0是數字0,不是字母O)
%System%\winc1.exe
%System%\winc2.exe
%System%\winmem.exe
%System%\WinSocks.dll
%System%\yyd55dg.dll
%System%\yyd55dg.exe
%ProgramFiles%\explorer.exe
刪除病毒建立的啟動項信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
(默認) = winmem
loadMecq0 = %ProgramFiles%\explorer.exe
SysDll32_ = %Windows%\delttoul.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
slSorvice = %System%\slsorve.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
ws_dd = %Windows%\lsass.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
26 = %System%\slsorve.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ws_dd = %Windows%\lsass.exe
smss = %Windows%\smss.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
smss = %Windows%\smss.exe
還要刪除:
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks]下的{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
編輯WIN.INI文件中run=%Windows%\smss.exe為run= (Windows 9x);
在注冊表編輯器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows,修改右邊“run”的內容,將“%Windows%\smss.exe”刪除,改為空(Windows NT/2000/XP/2003)。
編輯SYSTEM.INI文件中Shell = Explorer.exe %Windows%\lsass.exe為Shell = Explorer.exe(Windows 9x);
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,編輯右邊“Shell”的內容,將“Explorer.exe %Windows%\lsass.exe”修改為“Explorer.exe”(Windows NT/2000/XP/2003)。
恢復被修改的起始頁信息:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page,建議設置為“about:blank”
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page,建議設置為“about:blank”
15.
http://mm5i.com刪除方法
在安全模式下刪除以下文件:
%Windows%\csrss.exe(透明圖標)
%System%\001.exe
%System%\444.reg
%System%\chk.exe
%System%\chk20.exe
%System%\HMRes.dll
%System%\huanyuan.exe
%System%\pj.exe
%System%\pojie.exe
%System%\SimCom.dll
%System%\winpass.exe(透明圖標)
%System%\Ws2help32.dll
%System%\YZDLL32.DLL
%System%\huangjiaju.exe(0字節)
刪除%Windows%\csrss.exe的四個啟動項,分別在:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
恢復被修改的Start Page(yyue.net)設置:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"
16.
http://***www.sou99.com 和
http://www.qq46.com/home?:
刪除注冊表中這幾個:
HKLM\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKCU\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKLM\software\microsoft\windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
HKCU\software\Microsoft\Windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
然后重新啟動計算機,刪除%windir%下的csrss.exe即可。
17.
http://www.vmqq.com:
在安全模式下刪除以下文件:
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL(注意是數字0不是字母o)
%System%\SP00LSV.EXE(注意是數字0不是字母o)
%System%\system32.exe
刪除它們的啟動項及NTdhcp.exe的啟動項即可。