QQ木馬病毒解決方法教程

　　電腦病毒看不見，卻無處不在，有時防護措施不夠或者不當操作都會導致病毒入侵。前幾天，同學在QQ上收到一個人傳來的文件(見圖1)，十分欣喜地打開，結(jié)果什么都沒有，然后就發(fā)現(xiàn)自己也在不停地給人傳文件，于是找我?guī)兔η宄?。其查殺過程一波三折，現(xiàn)成此文，以供大家參閱。

　　案例分析

　　1.輕松搞定偽裝品

　　先刪除了他接收到的文件，然后用進程查看軟件TroyanFindInfo(下載地址:http:// nj.onlinedown.net/soft/36670.htm)查看一下系統(tǒng)中所有進程。很快發(fā)現(xiàn)了一個很奇怪的進程(見圖2)，雖然名稱是RUNDLL32.EXE，但其他的諸如版本、產(chǎn)品名、說明都和微軟的RUNDLL32.EXE不同。

　　另外，該文件保存在System目錄下，而同學的系統(tǒng)是Windows 2000，系統(tǒng)自帶的RUNDLL32.EXE應該保存在System32的文件夾中?；谝陨系呐袛?，初步斷定該進程為木馬進程，于是就用TroyanFindInfo中的“Edit→Kill process”(編輯→結(jié)束進程)關(guān)閉掉該進程。同時把C:\WINNT\System\目錄下的木馬原文件也刪除。最后在注冊表中查找所有的開機自啟動項目，找到和剛才刪除的RUNDLL32.EXE有關(guān)的鍵值即可。

　　小提示

　　★進程查看軟件很多，比如以前介紹過的IceSword，本文介紹的TroyanFindInfo等。我個人喜歡用TroyanFindInfo，因為它比較小巧，信息也比較全面，實用。當你自己不能判斷出進程文件時，還可以點擊“Save”(保存)按鈕，保存好LOG文件，然后傳給高手，讓他幫忙分析。

　　★以前大多數(shù)QQ病毒都是通過發(fā)送病毒網(wǎng)站地址來傳播的，現(xiàn)在也有不少通過QQ直接發(fā)送病毒文件，比如，使用圖片圖標的EXE文件，大家在接收來自好友或陌生人的消息及文件時一定要提高警惕，最好先詢問一下對方是否發(fā)過該信息或文件，以免無畏中招。

　　★開機自啟動在注冊表里的具體位置可以參見本刊2005年第1期的《中毒后遺癥，妙手來清除》。

　　2.清除病毒的“幕后黑手”

　　本來以為是一個Easy Case，可剛回到家，同學就打來電話說好像木馬沒清除干凈。過去一看，果然又出現(xiàn)了原來的狀況。按照剛才介紹的方法先行處理過后，再回想一下整個操作，推斷出可能木馬把自己的分身隱藏到了系統(tǒng)的某個角落。

　　于是打開“我的電腦”，在菜單欄上點擊“工具→文件夾選項”，在彈出的“查看”選項卡里將“隱藏受保護的操作系統(tǒng)文件(推薦)”和“隱藏已知文件類型的擴展名”兩項的勾選去除，再選中“隱藏文件和文件夾”里的“顯示所有文件和文件夾”(見圖3)。

　　QQ

　　進入系統(tǒng)目錄里，仔細看了一下WINNT、System、System32的目錄，果然不出所料，發(fā)現(xiàn)了“?.exe”和“notepad?.exe”兩個特殊的文件，根據(jù)剛才查殺System目錄下RUNDLL32.EXE的經(jīng)驗，這些文件既不是系統(tǒng)自帶的程序，文件的屬性又和剛才刪除的RUNDLL32.EXE屬性類似，可以推斷出這些文件就是木馬文件，自然將其刪除。最后，再去注冊表，檢查一下所有的啟動項目。

　　小提示

　　★系統(tǒng)自帶程序都有各自特定位置和圖標，比如開始要刪除的“RUNDLL32.EXE”，如果是系統(tǒng)自帶程序，那在Windows 2000/XP中保存在系統(tǒng)目錄里的System32文件夾里。

　　★類似于“ .exe”和“notepad?.exe”這類的木馬文件的命名抓住了人們心理上的弱點，對相似東西會忽略掉。如果隱藏了擴展名，本例中的這兩個文件粗粗看一眼就很容易忽略掉。還有一種就是用比較類似的字母或者數(shù)字來代替，達到混淆的目的，比如“I”(大寫I)、“l”(小寫L)、“1”(數(shù)字1)或者是“O”(字母O)“0”(數(shù)字0)就很容易拿來混淆。

　　3.最終善后

　　好事多磨，當我正暗自得意時，突然發(fā)現(xiàn)所有應用程序都無法使用，還彈出如圖4所示提示，于是繼續(xù)解決問題:到Window的系統(tǒng)目錄里把“Regedit.exe”的擴展名改為COM，不理會警告再運行，即可打開“注冊表編輯器”，然后再到[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]將“默認”鍵值改回“%1 %*”。再以“?”和“notepad?”為關(guān)鍵詞進行搜索，結(jié)果又發(fā)現(xiàn)注冊表的一處鍵值，即[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]也被修改成了“notepad? %1”，修改回默認的“NOTEPAD.EXE %1”即可。

　　最后，為了保險起見，再用安裝的殺毒軟件對系統(tǒng)進行了全面的查毒，發(fā)現(xiàn)QQ目錄中的“TIMPlatform.exe”也是木馬，去QQ的目錄里一看，發(fā)現(xiàn)還有一個文件“TIMP1atform.exe”，經(jīng)過查看屬性，查毒，確認它是被木馬改名的原“TIMPlatform.exe”文件，改回后，一切正常。

　　相關(guān)閱讀：2018網(wǎng)絡安全事件：

　　一、英特爾處理器曝“Meltdown”和“Spectre漏洞”

　　2018年1月，英特爾處理器中曝“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞，包括AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)，幾乎近20年發(fā)售的所有設備都受到影響，受影響的設備包括手機、電腦、服務器以及云計算產(chǎn)品。這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內(nèi)存中的信息均可能因此外泄。

　　二、GitHub 遭遇大規(guī)模 Memcached DDoS 攻擊

　　2018年2月，知名代碼托管網(wǎng)站 GitHub 遭遇史上大規(guī)模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。然而，事情才過去五天，DDoS攻擊再次刷新紀錄，美國一家服務提供商遭遇DDoS 攻擊的峰值創(chuàng)新高，達到1.7 Tbps!攻擊者利用暴露在網(wǎng)上的 Memcached 服務器進行攻擊。網(wǎng)絡安全公司 Cloudflare 的研究人員發(fā)現(xiàn)，截止2018年2月底，中國有2.5萬 Memcached 服務器暴露在網(wǎng)上 。

　　三、蘋果 iOS iBoot源碼泄露

　　2018年2月，開源代碼分享網(wǎng)站 GitHub(軟件項目托管平臺)上有人共享了 iPhone 操作系統(tǒng)的核心組件源碼，泄露的代碼屬于 iOS 安全系統(tǒng)的重要組成部分——iBoot。iBoot 相當于是 Windows 電腦的 BIOS 系統(tǒng)。此次 iBoot 源碼泄露可能讓數(shù)以億計的 iOS 設備面臨安全威脅。iOS 與 MacOS 系統(tǒng)開發(fā)者 Jonathan Levin 表示，這是 iOS 歷史上最嚴重的一次泄漏事件。

　　四、韓國平昌冬季奧運會遭遇黑客攻擊

　　2018年2月，韓國平昌冬季奧運會開幕式當天遭遇黑客攻擊，此次攻擊造成網(wǎng)絡中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運會官網(wǎng)均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。

　　五、加密貨幣采礦軟件攻擊致歐洲廢水處理設施癱瘓

　　2018年2月中旬，工業(yè)網(wǎng)絡安全企業(yè) Radiflow 公司表示，發(fā)現(xiàn)四臺接入歐洲廢水處理設施運營技術(shù)網(wǎng)絡的服務器遭遇加密貨幣采礦惡意軟件的入侵。該惡意軟件直接拖垮了廢水處理設備中的 HMI 服務器 CPU，致歐洲廢水處理服務器癱瘓 。

　　Radiflow 公司稱，此次事故是加密貨幣惡意軟件首次對關(guān)鍵基礎(chǔ)設施運營商的運營技術(shù)網(wǎng)絡展開攻擊。由于受感染的服務器為人機交互(簡稱HMI)設備，之所以導致廢水處理系統(tǒng)癱瘓，是因為這種惡意軟件會嚴重降低 HMI 的運行速度。

QQ木馬病毒解決方法教程相關(guān)文章：

1.QQ病毒查殺完全手冊

2.QQ自行解除保護模式圖文教程

3.玩轉(zhuǎn)QQ的33個小技巧集錦

4.QQ電腦管家如何閃電查殺電腦木馬病毒

5.qq安全中心密碼鎖教程