上海浦东星河湾大酒店:查出有worm.qq.topfox.al病毒，如何才能杀掉？

QQ病毒专杀工具XP QQKav 2005 圣诞版:
http://www.onlinedown.net/soft/20919.htm

不是变种的话,请参考下面的方法

首先，我们还是先把病毒的进程结束掉：
%System%\wmimgr.exe
%System%\comime.exe
然后搜索并删除病毒文件：
%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll

病毒文件删除以后，我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置，方法很多的，如果不会操作，这里提供了一段REG注册表文件，保存为REG文件后直接双击运行后导入注册表即可恢复禁用。

Code:

[Ctrl+A Select All]

接下来就可以到注册表编辑器删除病毒建立的启动项了：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"

注：HKEY_LOCAL_MACHINE\SOFTWARE\TopFox，这个位置好像是病毒建立的“标志”，该位置如果存在，貌似病毒运行后不会进行过多的“动作”，且会自动退出进程，故可以不删除。

好了，病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件，所以我们先要恢复%System%\dllcache\下的系统文件。

explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到，比如安装光盘或ServicePack保存的目录，也可以从其它相同操作系统（相同SP）中复制过来。

如果是从安装盘I386目录下找，可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件，通过expand命令可以解压缩它们，命令类似：

Code:

[Ctrl+A Select All]

得到正常的源文件后，我们依次进行覆盖操作。
先覆盖：
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然后再覆盖或删除：
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe

QQ的话，如果方便就覆盖安装一下。

通过以上操作应该可以解决问题，以后要注意的是多多提高自己的安全防护意识和尽快掌握一些计算机基础知识，这样就能很快地分辨出像这种QQ上传来的不是什么好东西了。

－－－－－－－－－－－－－－
补充一下：
目前杀软支持查杀该病毒，请升级你的杀软，在安全模式全盘杀一次。该狐狸王会禁用任务管理器，及注册表，需要手工恢复，可以通过下载附件，解压后运行修复。

该木马会修改三个常用的系统文件，请从安装盘I386目录下找（注意自己系统版本、SP），可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件（用搜索即可）由于这三个实质是CAB压缩包文件，你可以通过系统的expand命令解压缩，考虑到更多的人，更方便的方法是，直接将其扩展名改成CAB或RAR，使用Winrar即可解压缩，将解压缩出来的文件覆盖被修改的文件，如果不懂得扩展名，可以先打开Winrar，再分别拖这三个文件进Winrar解压缩，也可直接双击上述文件，在打开方式对话框，通过浏览选择Winrar，也可以解压缩。 如果你手上没有安装盘，可以直接在论坛发帖说明你的系统版本，通过别人上传正确的文件再替换。
附件http://forum.ikaka.com/uploadfiles/20056/20/2326862005620214706.rar