¿Se puede eliminar Worm.QQ.TopFox.b?
Algo similar, aquí un análisis personal:
Archivos de virus relacionados:
~!KqVo4c.exe
comime .exe
DHelp.dll
msinthk.dll
QQDHelp.dll
wmimgr.exe
Virus Se propaga por enviar archivos a través de QQ El nombre del archivo enviado es muy tentador. Se envía en forma de nombre de archivo > .jpg.exe.
El virus debe recibirse y ejecutarse antes de que pueda infectar el sistema. Después de ejecutarse, se mostrará un cuadro de diálogo de error (ver archivo adjunto).
El virus agrega información al registro para evitar que los usuarios abran el "Administrador de tareas" y el "Editor del registro":
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\ System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword: 00000001
Agregar información de marca al registro: HKEY_LOCAL_MACHINE\SOFTWARE \TopFox
También buscará información sobre Rising y QQ. Se dice que Rising eliminará los archivos de Rising:
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav
El virus. Cópielo en el directorio del sistema y el nombre del archivo es wmimgr.exe.
El virus también modificará algunos archivos de programa del sistema y archivos de programa QQ, agregando la marca "TopFox" e información que parece llamar al archivo de virus DHelp.dll en el archivo. son:
System\dllcache\explorer.exe
System\dllcache\iexplore.exe
System\dllcache\notepad.exe
Windows\ explorer.exe
Windows\notepad.exe
Sistema\notepad.exe
Archivos de programa\Internet Explorer\iexplore.exe
También también se modificarán algunos programas QQ, como QQGame.exe, etc.
Nota: Cuando se modifica el archivo del sistema, el sistema mostrará dicho cuadro de diálogo (ver archivo adjunto).
El virus libera DHelp.dll en el siguiente directorio:
Windows\
System\
System\wbem\
Directorio QQ, como ProgramFiles\Tencent\QQGame\
Libere QQDHelp.dll en el directorio ProgramFiles\Tencent\.
Agregar elementos de inicio automático:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Instrumental de administración de Windows"="wmimgr.exe "
El virus también descargará otro programa antivirus para robar contraseñas del sitio web al sistema:
PERFIL DE USUARIO\Configuración local\Temp\
~!KqVo4c .exe
~H32Jvk.jpg
Cópiese en el directorio del sistema, el nombre del archivo es comime.exe y libere msinthk.dll.
Cree un elemento de inicio automático:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
p>Pasos de eliminación
Primero, debemos finalizar el proceso del virus:
System\wmimgr.exe
System\comime. exe
Luego busque y elimine el archivo de virus:
System\wmimgr.exe
DHelp.dll
QQDHelp.dll
PERFIL DE USUARIO\Configuración local\Temp\~!KqVo4c.exe
System\comime.exe
System\msinthk.dll
Después de El archivo de virus se elimina, necesitamos restaurar la configuración del "Administrador de tareas" y el "Editor de registro" deshabilitados por virus. Si no sabe cómo operar, aquí tiene un archivo de registro REG. un archivo REG y haga doble clic en él para ejecutarlo e importarlo. El registro se puede restaurar y deshabilitar.
Código:
[Ctrl A Seleccionar todo]
A continuación, puede ir al editor de registro para eliminar los elementos de inicio creados por el virus:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Instrumental de administración de Windows"="wmimgr. exe"
Nota: HKEY_LOCAL_MACHINE\SOFTWARE\TopFox, esta ubicación parece ser la "bandera" creada por el virus. Si esta ubicación existe, parece que el virus no realizará demasiadas "acciones" después ejecutándose y saldrá automáticamente del proceso, por lo que no es necesario eliminarlo.
Bien, después de eliminar el virus, restauraremos los tres archivos del sistema explorer.exe, notepad.exe e iexplore.exe que han sido modificados por el virus. Dado que el virus también modificó los archivos en System\dllcache\, primero debemos restaurar los archivos del sistema en System\dllcache\.
Podemos encontrar los archivos fuente de explorer.exe, notepad.exe e iexplore.exe desde la fuente de instalación del sistema, como el CD de instalación o el directorio guardado por el ServicePack, o desde otros mismos sistemas operativos. (mismo SP) Copiado de .
Si busca desde el directorio I386 del disco de instalación, puede encontrar los archivos explorer.ex_, notepad.ex_ e iexplore.ex_. Puede descomprimirlos mediante el comando expandir.
Código:
[Ctrl A Seleccionar todo]
Después de obtener el archivo fuente normal, realizamos la operación de sobrescritura en secuencia.
Sobrescribir primero:
System\dllcache\explorer.exe
System\dllcache\iexplore.exe
System\dllcache\notepad .exe
Luego sobrescribe o elimina:
Windows\explorer.exe
Windows\notepad.exe
System\notepad exe.
ProgramFiles\Internet Explorer\iexplore.exe
Para QQ, sobrescríbalo e instálelo si es conveniente.
El problema debe resolverse mediante las operaciones anteriores. En el futuro, debe prestar atención a mejorar su conciencia de seguridad y dominar algunos conocimientos informáticos básicos lo antes posible, para que pueda distinguir rápidamente los mensajes cargados. QQ así ya no es algo bueno.
-----------------
Nota adicional:
Actualmente, el software antivirus admite la eliminación este virus, actualice su software antivirus, elimínelos todos en modo seguro. Fox King desactivará el administrador de tareas y el registro, y deberá restaurarse manualmente. Puede descargar el archivo adjunto, descomprimirlo y ejecutar la reparación.
Este troyano modificará tres archivos de sistema de uso común. Encuéntrelos en el directorio I386 del disco de instalación (preste atención a la versión y SP de su sistema. Puede encontrar explorer.ex_, notepad.ex_ y). Archivos iexplore.ex_ (solo busque) Dado que estos tres son en realidad archivos de paquetes comprimidos CAB, puede descomprimirlos mediante el comando de expansión del sistema. Considerando que hay más personas, una forma más conveniente es cambiar directamente sus extensiones a CAB o RAR para descomprimirlos. Winrar, y el archivo descomprimido sobrescribirá el archivo modificado. Si no conoce la extensión, puede abrir Winrar primero y luego arrastrar los tres archivos a Winrar para descomprimirlos, o puede hacer doble clic directamente en los archivos anteriores. En el cuadro de diálogo Abrir con, seleccione Winrar navegando, también puede descomprimirlo. Si no tiene un disco de instalación a mano, puede publicar directamente en el foro para explicar la versión de su sistema y hacer que otros carguen los archivos correctos y luego los reemplacen.