Trojan.Win32.QiaoZhaz.d屬木馬類,病毒運行后彈出對話框,內容為“發現您硬盤內曾使用過盜版了的我公司軟件 , 所以將您部份文件移到鎖定了的扇區 , 若要解鎖將文件釋放 , 請電郵 liugongs19670519@yahoo.com.cn 購買相應的軟件”。在 2000 系統下點擊確定后不自動注銷。XP 系統下點擊確定后系統會自動注銷,由于病毒加載了啟動項,所以開機病毒會自動運行,會繼續彈出對話框,反復循環。病毒衍生文件到系統目錄下,在啟動文件夾內衍生病毒文件,并重命名為 svchost.exe 。創建服務,并以服務的方式達到隨機啟動的目的。去除“文件夾選項”,使用戶無法選擇“顯示所有隱藏文件”和不能去掉“隱藏受保護的系統文件”“隱藏已知文件類型的擴展名”。去除開始菜單中的“搜索”、“運行”項和“關機”項,使用戶不能使用搜索、 command 命令和關機、注銷。修改 txt 文件關聯,當用戶試圖運行 txt 文件時,則會激活病毒,同樣的辦法修改任務管理器關聯,無論用戶怎樣打開任務管理器,都會激活病毒。病毒把屏保時間修改為60 秒,在 %system32% 文件夾下生成病毒屏保文件,當用戶 60 秒不操作計算機時,系統會自動運行病毒。該病毒利用多種方法來保護自身。刪除非系統盤外的所有文件,并在每個盤符下建立一個名為:警告 .h 的文件。該病毒的行為極其惡劣,不停的彈出對話框,對用戶進行敲詐勒索。
清除方案:刪除對應文件,恢復相關系統設置。
(1)首先關閉下列病毒進程:
win1ogon.exe < 路徑 : C:\Documents and Settings\All UsersApplication Data\Microsoft\win1ogon.exe>
svchost.exe < 路徑 : C:\Documents and Settings\Administrator\
開始」菜單 \ 程序 \ 啟動 \svchost.exe> |
(2)刪除病毒文件:
%Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe
%Documents and Settings%\All Users\ 「開始」菜單 \ 程序 \ 啟動 \svchost.com
%Documents and Settings%\All Users\ 桌面 \ 警告 .h
%Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr
%Documents and Settings%\commander\NTUSER.DAT.LOG
%WINDIR%\Debug\UserMode\userenv.log
%WINDIR%\setupapi.log
%system32%\CatRoot2\dberr.txt
%system32%\config\default.LOG
%system32%\config\software.LOG
%system32%\config\system.LOG
%system32%\taskmgr.exe
%system32%\wins.com
%system32%\ 飛越星球 .scr |
(3)將下列內容導入注冊表里,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\FolderHidden\SHOWALL]
"CheckedValue"=dword:00000001
"DefaultValue"=dword:00000002
"HelpID"="shell.hlp#51105"
"HKeyRoot"=dword:800000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"ValueName"="Hidden"
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="900"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="C:\\WINDOWS\\notepad.exe %1"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
[HKEY_CURRENT_USER\Control Panel\Desktop]
"SCRNSAVE.EXE"="nothing"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost.exe"="nothing"
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WINS ] |
(4)在其他干凈的系統拷貝一個taskmgr.exe文件,把它復制到C:\windows\system32目錄下,覆蓋原文件即可。
