Win32.Troj.QQmsgBook.b

影響系統：Win9x/Win2000/WinXP/Windows Server 2003

病毒行為:

傳奇盜號木馬系例，利用QQ發訊息傳播。

編寫工具:VB

A、自我複製到系統目錄和安裝目錄

%Windir% askmgr.exe

%system%

oteped.exe

B、添加以下鍵值

"WinDir" = "%WinDir% askmgr.exe"

到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

以便病毒可隨機自啟動

C、修改註冊表替換TXT檔案關聯，在打開文本檔案時運行病毒

HKEY_CLASSES_ROOT xtfileshellopencommand

"默認" = "Noteped.exe %1"

D、修改註冊表更改Internet Explorer的主頁

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

"Main" = "http://www.AllJapaneseArePigs.com/"

E、病毒會向好友傳送以下信息，其中“%USER%”會被病毒替換為QQ好友的ID

你好啊，%USER%，今天我在網上下了本電子書，書名叫《緣》，寫得不錯，而且書的作者的名字很巧，跟你的QQ網名一樣，也叫“%USER%”不會就是你寫的吧？挺有才的嘛，呵呵！點擊下面這個地址可以下載這本書：http://www.book.cn.gg/

1937年12月13日，300000南京人民被侵華日軍集體大屠殺！！！所有的中國人都不應忘記這個日子，從始至終日本人都沒有改變它們的野心!中華兒女要團結自強牢記歷史台灣是中國不可分割的一部份!!!，請你將此訊息發給你QQ上的好友!

你好呀!很久沒見你上線了!今天在網上下了本電子書，書名叫《緣》，寫得不錯，而且書的作者的名字很巧，跟你的QQ網名一樣，也叫“%USER%”不會就是你寫的吧？挺有才的嘛，呵呵！點擊下面這個地址可以下載這本書：http://www.book.cn.gg/

步驟一，使用進程式管理器結束病毒進程

右鍵單擊系統列，彈出選單，選擇“任務管理器”，調出“Windows任務管理器”視窗。在任務管理器中，單擊“進程”標籤，在例表欄內找到病毒進程“taskmgr.exe和noteped.exe”，單擊“結束進程按鈕”，點擊“是”，結束病毒進程，然後關閉“Windows任務管理器”；

（我的進程中只有“taskmgr.exe”且關不掉）

步驟二，查找並刪除病毒程式

通過“我的電腦”或“資源管理器”，

進入系統目錄（Winnt或windows），

找到檔案“notepad.exe ”，將它刪除，注意清空資源回收筒內的內容；

（這個倒是有，但是也是怎么也刪不掉，刪了後還會自動生成）

步驟三，清除病毒在註冊表里添加的項

打開註冊表編輯器: 點擊開始→運行, 輸入REGEDIT, 按Enter；

在左邊的面板中, 雙擊（按箭頭順序查找，找到後雙擊）：

HKEY_LOCAL_MACHINE→Software→Windows→CurrentVersion→Run

在右邊的面板中, 找到並刪除如下項目：

"WinDir" = "%WinDir%\taskmgr.exe"

（我的註冊表下根本沒有上面說的東西，HKEY_LOCAL_MACHINE→Software→Microsoft→Windows→CurrentVersion→Run（這是我的上面的註冊信息））

WinDir" = "%WinDir%\taskmgr.exe（在那個下面也沒有這個東西）

恢復TXT檔案關聯

在左邊的面板中, 雙擊（按箭頭順序查找，找到後雙擊）：

HKEY_CLASSES_ROOT→txtfile→shell→open→command

"默認" = "Notepad.exe %1"

使用IE的設定將主頁恢復