站长笔记

描述:这两天电脑出了问题，老是跳出啥www.677977.com和www.cd321.com的网页，同时将我的隐藏文件的显示选项锁掉，害我不能看到隐藏文件，而且监视我的邮件系统，向趋势公司发出邮件不能，用雅虎助手也不行，根本打不开，反间谍软件也是这样，而且一旦上网想找这方面的资料，开出的网页就会死掉， 真不知道该咋办了！

病毒名称 Trojan.QQMSG.WHboy.mn

　　别 名 武汉男生变种MN

　　依赖系统 WIN9X/NT/2000/XP

　　传播途径 网络传播

　　行为类型 WINDOWS下的木马程序

遍历窗体，关闭包含以下字符串的窗体：主要特征

　　“注册表”“系统配置实用程序”“QQKav”“天网”“密码防盗”“绿鹰PC”“防火墙”“进程”“网镖”“任务管理器”“杀毒”“超级兔子”“优化大师”“木马克星”“QQAV”“毒霸”“黄山IE”“腾讯公司QQ”“QQ病毒”“xleo”“whboy”“Windows 任务管理器”“ThunderRT6formDC”

　　病毒运行后将自身复制到Windows系统目录下，文件名为“svohost.exe”，同时修改注册表项目实现开机自动运行。病毒将IE的首页修改为“http://www. ***iex.com”，使用户每次打开IE都会浏览该病毒网站。该病毒会造成多种杀毒软件和常用软件无法使用，还会从“http://mp3.***o.com/228.exe”网站下载病毒文件并运行。

　　病毒一旦运行，释放自己的副本到 %windir% 目录，文件名为svohost.exe，同时修改注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 修改键值ctfnom.exe为%windir%svohost.exe；

　　修改IE主页的默认地址

　　HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain子建下的Start Page项为http://www.joyiex.com

　　病毒的删除
　1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了
删除D：E：F：这些盘中（除了c盘）中的autorun.inf和sxs.exe两个文件
这个地址下载这2个工具:
http://free.ys168.com/?caiqcjd
txt.reg 3.9KB 恢复TXT文件关联
exefiles.rar 1.4KB 恢复EXE文件关联
备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为不显示隐藏文件，这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把搜索隐藏的文件和文件夹勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.