I have a promble—— Sendmess.exe解决方案

new2708

[这个贴子最后由一斛酒在 2004/01/22 10:43pm 第 1 次编辑]

每次上网，总会出现 Sendmess.请问这是什么意思？有什么法子解决？谢谢谢谢
！！！！！！！！！！！！！！！！

一斛酒

这是通过QQ传播的一款木马病毒，感染系统为Windows95/98/Me/NT/2000/XP，病毒运行后，会释放多个文件在%Windir%和系统目录下，修改注册表键值，更改用户的IE起始页面，并通过OICQ进行传播。表面上，用户在登录网站时会有多个窗口弹出，并感到系统运行速度减慢。这一病毒的特征是：
1.生成病毒文件
病毒运行后生成多个文件，在%Windir%下生成自身拷贝sendmess.exe，长度为18k，以及文件qq32.ini，长度为59k，并在%System%下生成qqmess.dll，长度为36k。
（其中，%Windir%在不同系统下分别为C:\Windows 或 C:\Winnt）
（其中，%System%在Windows95/98/Me 下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）
2.修改注册表项
病毒添加注册表项，使得木马程序在系统启动时自动运行，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加QQ = %Windir%\sendmess.exe。
3.更改IE起始页面
病毒还会更改IE的起始页面，更改为http://www.****.com/，并修改注册表的相关键值，更改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start page=www.****.com，（网站不是固定的某一个）这样一来，病毒感染后，每次启动IE，都会自动登录到http://www.****.com/，并且在登录其他网站时，同时弹出用户没有登录的网站窗口，有些网站还含有不健康的内容。
4.通过OICQ进行传播
病毒还可以通过OICQ传播，在用户使用OICQ聊天的时候，病毒可自动获取当前窗口，并将预先设定好的内容附加在发送消息的后面给正在聊天的朋友，发送的消息可能为"看过无间道三吗？这里有呀http://www.******.com精彩极了全程过程由谢雷锋主演，比原来两部好看多了，你看了吗？情节真是~可悲。。。"，"我在听周伦的新歌（晴天坊主）你也来听年个吧，真的很好听啊 http://www.******.com"或 "你刚才说?什么？？我好无聊噢，我们上语音聊天吧，进这个地址进了以后叫我http://www.******.com 别进错了快呀我等你 "（注意：网站和消息都不是固定不变的，以上信息是在登录某一网站感染病毒后发送的），发送的这些信息是从文件qq32.ini中获取的，它骗取用户登录含有恶意代码的网站，从而使病毒得到进一步的传播。以下是截取的病毒在OICQ中发送消息的画面。
手工清除该病毒的相关操作：
1.终止病毒进程
在Windows9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择"任务管理器--〉进程"，选中正在运行的进程"sendmess.exe"，并终止其运行。
2.注册表的恢复
点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的"QQ" = %Windir%\sendmess.exe。　　
3.删除病毒释放的文件
点击"开始--〉查找--〉文件和文件夹"，查找文件"sendmess.exe"、"qq32.ini"和"qqmess.dll"，并将找到的文件删除。
4.运行杀毒软件，对系统进行全面的病毒查杀
目前，金山、瑞星、江民公司都可以有效的清除该病毒。

一斛酒

下面引用由new2708在 2004/01/23 02:00pm 发表的内容：
那个sengmess删不了，他说删除文件出错？？

如果sendmess.exe正在运行，先关闭其进程，过一分钟再删除。

new2708

谢

winzww

对付这东东，我觉得 spant 特好，http://www.spant.net 下载