《“QQlive伪装者”病毒解决方案》

cu_Cbear

《“QQlive伪装者”病毒解决方案》

　　重启计算机后，受害者除了用鼠标通过“注销”来关机之外什么操作都做不了。“QQLive伪装者”病毒限制的许多系统功能都是可以通过“组策略”来设置的，但是“开始菜单”中“运行”按钮又被恶意隐藏了，如何调出“组策略”呢？难道就真没办法恢复系统了吗？不要绝望，千万不要重装系统，因为还有救！


◆“QQLive伪装者”病毒手工解决方法：


1：恢复系统常用功能！

　　鼠标右键“开始菜单”属性-----「开始」菜单-----自定义-----高级；「开始」菜单项目(M):

　　列表中鼠标滚轮滚动到“系统管理工具”，把【在“所有程序”菜单和「开始」菜单上显示】选定，按两次确定。


　　开始菜单-----管理工具-----性能，打开。


　　文件-----添加/删除管理单元(M)...


　　独立-----添加；“添加独立管理单元”列表中选中“组策略对象编辑器”-----添加。


　　组策略对象选择“本地计算机”，点击“完成”。


　　这时你会发现管理单元列表中多了一个【"本地计算机"策略】，点击“确定”。


　　这时你点击【"本地计算机"策略】就会发现这就是“组策略”。用户配置-----管理模板-----Windows 组件-----Windows 资源管理器，右侧窗口中找到【删除 Windows 资源管理器的默认上下文菜单】，鼠标右键选择“属性(R)”。


　　设置，选择“已禁用(D)”，确定。


　　同样的方法，把【隐藏“我的电脑”中的这些指定的驱动器】和【防止从“我的电脑”访问驱动器】设置成“已禁用”；返回到用户配置-----管理模块-----系统，右侧窗口中把【阻止访问命令提示符】和【阻止访问注册表编辑工具】设置成“已禁用”；再返回到用户配置-----管理模块-----Ctrl + Alt + Del 选项，右侧窗口中把【删除“任务管理器”】也设置成“已禁用”。

　　打开“我的电脑”，现在可以看到各个磁盘分区了，打开“C:\WINDOWS”系统目录下，运行“regedit.exe”，这个就是“注册表编辑器”。依次展开分支“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”，把子项“Explorer”右侧窗口的所有键值项全部删除。


　　返回注册表五大预定义项处，重新依次展开至“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel”，把子项“Control Pan”右侧窗口的所有键值项全部删除。

　　重新依次展开至“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions”，把子项“Restrictions”右侧窗口的所有键值项全部删除。

　　重新依次展开至“HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Policies”下面找到子项“WinOldApp”将其删除。

　　重新依次展开至“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”，在“SHOWALL”右侧窗口找到DWORD值“CheckedValue”将其数据数值改为“1”，确定。

　　IE属性-----安全，选定“Internet”，点击“自定义级别(C)...”-----设置(S)，鼠标滚轮滚动到下载那里，全部选定“启用”，点击“确定”，弹出警告选择“是”，再点击“确定”即可恢复下载功能。


　　最后删除“QQLive伪装者”病毒程序，如下：

删除C:\schovt.exe
删除C:\QQLive.exe
删除C:\Program Files\QQLive.exe
删除C:\WINDOWS\system32\explorer
删除C:\WINDOWS\system32\explorer.exe
删除C:\WINDOWS\system32\regedit.exe

　　最后删除每个磁盘分区根目录下的病毒程序，从“1.exe”至“50499.exe”全部删除。如果你的这几个磁盘分区根目录下没什么其它“.exe”可执行程序的话，可以使用DOS命令批处理删除它们。开始菜单-----运行 输入：cmd.exe

　　例如你要删除C盘庚目录下的所有病毒程序，在命令提示符的黑色窗口里面输入如下DOS命令：
DEL C:\*.exe

　　做完以上全部操作后，按“Ctrl + Alt + Del”键调出“任务管理器”，结束“explorer.exe”进程，文件(F)-----新建任务(运行...)(N)，输入：explorer.exe

　　你会发现你的桌面恢复原样了。前提下你必须保证你已经删除了“C:\WINDOWS\system32”目录下病毒伪装的“explorer.exe”，否则你运行“explorer.exe”会重新运行“QQLive伪装者”！


2：修复系统安全模式！

　　重启电脑，在进入系统之前狂按“F8”键在‘高级选项’里面选择“最后一次正确的配置（您的起作用的最近设置）”进入。这样，可以修复“安全模式”。原理是“HKEY_LOCAL_MACHINE\SYSTEM”下面的“ControlSet001”、“ControlSet002”和“CurrentControlSet”这三个子项的内容都是一样的。“ControlSet001”是系统真是配置、“ControlSet002”是“最后一次正确的配置....”、“CurrentControlSet”是“系统当前配置”。用户什么操作改动配置都会临时储存到“CurrentControlSet”里面，关机前系统会自动将“CurrentControlSet”下面的数据覆盖到“ControlSet001”，这也是关机时看到的“正在保存设置...”的画面。当用户选择“最后一次正确的配置...”的时候是将“ControlSet002”覆盖掉“ControlSet001”。但是有一点注意的是，当操作系统每成功启动一次，它都将“CurrentControlSet”和“ControlSet001”中的数据复制到 ControlSet002中。也就是说，通过“最后一次正确的配置...”来修复“安全模式”只是在电脑中毒第一次重启有效。


　　“QQLive伪装者”病毒通过删除注册表项值破坏安全模式时，只删除了“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control”和“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control”下面的子项“SafeBoot”下面的所有项、值。但是“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control”下面的子项“SafeBoot”并没有被破坏。所以中毒后第一次重启选择“最后一次正确的配置...”即可修复“安全模式”！如果你已经是多次重启电脑了，很遗憾，只能通过U盘从一台正常的电脑导出一份“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot”保存为“.reg”脚本文件再导入你的注册表里面吧。

PS：
　　如果你是局域网用户，可以通过文件(F)-----连接网络注册表(C)...修复注册表。



3：修复系统文件关联！

　　打开“记事本”，复制/粘贴如下内容：

1. Windows Registry Editor Version 5.00
   
2. 
   
3. [HKEY_CLASSES_ROOT\.bat]
   
4. @="batfile"
   
5. [HKEY_CLASSES_ROOT\.bat\PersistentHandler]
   
6. @="{5e941d80-bf96-11cd-b579-08002b30bfeb}"
   
7. 
   
8. [HKEY_CLASSES_ROOT\.com]
   
9. @="comfile"
   
10. [HKEY_CLASSES_ROOT\.com\PersistentHandler]
    
11. @="{098f2470-bae0-11cd-b579-08002b30bfeb}"
    
12. 
    
13. [HKEY_CLASSES_ROOT\.db]
    
14. @="dbfile"
    
15. 
    
16. [HKEY_CLASSES_ROOT\.dll]
    
17. @="dllfile"
    
18. "Content Type"="application/x-msdownload"
    
19. [HKEY_CLASSES_ROOT\.dll\PersistentHandler]
    
20. @="{098f2470-bae0-11cd-b579-08002b30bfeb}"
    
21. 
    
22. [HKEY_CLASSES_ROOT\.doc]
    
23. @="Word.Document.8"
    
24. "Content Type"="application/msword"
    
25. [HKEY_CLASSES_ROOT\.doc\OpenWithList]
    
26. [HKEY_CLASSES_ROOT\.doc\OpenWithList\Illustrator.exe]
    
27. @=""
    
28. [HKEY_CLASSES_ROOT\.doc\OpenWithList\WordPad.exe]
    
29. @=""
    
30. [HKEY_CLASSES_ROOT\.doc\PersistentHandler]
    
31. @="{98de59a0-d175-11cd-a7bd-00006b827d94}"
    
32. [HKEY_CLASSES_ROOT\.doc\ShellNew]
    
33. [HKEY_CLASSES_ROOT\.doc\Word.Document.6]
    
34. [HKEY_CLASSES_ROOT\.doc\Word.Document.6\ShellNew]
    
35. "FileName"="winword.doc"
    
36. [HKEY_CLASSES_ROOT\.doc\Word.Document.8]
    
37. [HKEY_CLASSES_ROOT\.doc\Word.Document.8\ShellNew]
    
38. "FileName"="winword8.doc"
    
39. [HKEY_CLASSES_ROOT\.doc\WordDocument]
    
40. 
    
41. [HKEY_CLASSES_ROOT\.gho]
    
42. @="Ghost"
    
43. 
    
44. [HKEY_CLASSES_ROOT\.inf]
    
45. @="inffile"
    
46. [HKEY_CLASSES_ROOT\.inf\PersistentHandler]
    
47. @="{5e941d80-bf96-11cd-b579-08002b30bfeb}"
    
48. 
    
49. [HKEY_CLASSES_ROOT\.ini]
    
50. @="inifile"
    
51. [HKEY_CLASSES_ROOT\.ini\PersistentHandler]
    
52. @="{5e941d80-bf96-11cd-b579-08002b30bfeb}"
    
53. 
    
54. [HKEY_CLASSES_ROOT\.ppt]
    
55. "Content Type"="application/vnd.ms-powerpoint"
    
56. @="PowerPoint.Show.8"
    
57. [HKEY_CLASSES_ROOT\.ppt\PersistentHandler]
    
58. @="{98de59a0-d175-11cd-a7bd-00006b827d94}"
    
59. [HKEY_CLASSES_ROOT\.ppt\PowerPoint.Show.4]
    
60. [HKEY_CLASSES_ROOT\.ppt\PowerPoint.Show.4\ShellNew]
    
61. "FileName"="powerpnt.ppt"
    
62. [HKEY_CLASSES_ROOT\.ppt\PowerPoint.Show.8]
    
63. [HKEY_CLASSES_ROOT\.ppt\PowerPoint.Show.8\ShellNew]
    
64. "FileName"="pwrpnt11.pot"
    
65. 
    
66. [HKEY_CLASSES_ROOT\.txt]
    
67. @="txtfile"
    
68. "PerceivedType"="text"
    
69. "Content Type"="text/plain"
    
70. [HKEY_CLASSES_ROOT\.txt\PersistentHandler]
    
71. @="{5e941d80-bf96-11cd-b579-08002b30bfeb}"
    
72. [HKEY_CLASSES_ROOT\.txt\ShellNew]
    
73. "NullFile"=""

复制代码

　　文件(F)-----保存（S），保存为“*.reg”格式的脚本文件到桌面上，鼠标右键“合并(G)”导入就行了。


PS：
　　“*”代表任何字符，意思是说你自己随意命名一个名称。


4：修复系统引导文件！

　　

1. 在C盘新建一个文本文档，并重命名为“boot.ini”，然后在里面复制/粘贴如下内容：
   
2. 
   
3. [boot loader]
   
4. timeout=5
   
5. default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
   
6. [operating systems]
   
7. multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
   
8. 
   
9. 　　按“Ctrl + S”键保存即可。

复制代码