小心被敲诈 警惕恶意QiaoZhaz.d木马,小心被敲诈 警惕恶意QiaoZhaz.d木马,病毒防治
Trojan.Win32.QiaoZhaz.d属木马类,病毒运行后弹出对话框,内容为“发现您硬盘内曾使用过盗版了的我公司软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongs19670519@yahoo.com.cn 购买相应的软件”。在 2000 系统下点击确定后不自动注销。XP 系统下点击确定后系统会自动注销,由于病毒加载了启动项,所以开机病毒会自动运行,会继续弹出对话框,反复循环。病毒衍生文件到系统目录下,在启动文件夹内衍生病毒文件,并重命名为 svchost.exe 。创建服务,并以服务的方式达到随机启动的目的。去除“文件夹选项”,使用户无法选择“显示所有隐藏文件”和不能去掉“隐藏受保护的系统文件”“隐藏已知文件类型的扩展名”。去除开始菜单中的“搜索”、“运行”项和“关机”项,使用户不能使用搜索、 command 命令和关机、注销。修改 txt 文件关联,当用户试图运行 txt 文件时,则会激活病毒,同样的办法修改任务管理器关联,无论用户怎样打开任务管理器,都会激活病毒。病毒把屏保时间修改为60 秒,在 %system32% 文件夹下生成病毒屏保文件,当用户 60 秒不操作计算机时,系统会自动运行病毒。该病毒利用多种方法来保护自身。删除非系统盘外的所有文件,并在每个盘符下建立一个名为:警告 .h 的文件。该病毒的行为极其恶劣,不停的弹出对话框,对用户进行敲诈勒索。
清除方案:删除对应文件,恢复相关系统设置。
(1)首先关闭下列病毒进程:
win1ogon.exe < 路径 : C:/Documents and Settings/All Users/
Application Data/Microsoft/win1ogon.exe>
svchost.exe < 路径 : C:/Documents and Settings/Administrator/
开始」菜单 / 程序 / 启动 /svchost.exe>
(2)删除病毒文件:
%Documents and Settings%/All Users/Application Data/Microsoft/win1ogon.exe
%Documents and Settings%/All Users/ 「开始」菜单 / 程序 / 启动 /svchost.com
%Documents and Settings%/All Users/ 桌面 / 警告 .h
%Documents and Settings%/commander/Local Settings/Temp/E_4/krnln.fnr
%Documents and Settings%/commander/NTUSER.DAT.LOG
%WINDIR%/Debug/UserMode/userenv.log
%WINDIR%/setupapi.log
%system32%/CatRoot2/dberr.txt
%system32%/config/default.LOG
%system32%/config/software.LOG
%system32%/config/system.LOG
%system32%/taskmgr.exe
%system32%/wins.com
%system32%/ 飞越星球 .scr
(3)将下列内容导入注册表里,
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/
Hidden/SHOWALL]
"CheckedValue"=dword:00000001
"DefaultValue"=dword:00000002
"HelpID"="shell.hlp#51105"
"HKeyRoot"=dword:800000001
"RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"ValueName"="Hidden"
[HKEY_CURRENT_USER/Control Panel/Desktop]
"ScreenSaveTimeOut"="900"
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CLASSES_ROOT/txtfile/shell/open/command]
@="C://WINDOWS//notepad.exe %1"
[-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/system]
[HKEY_CURRENT_USER/Control Panel/Desktop]
"SCRNSAVE.EXE"="nothing"
[-HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer]
[-HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/Explorer]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"svchost.exe"="nothing"
[-HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/WINS ]
(4)在其他干净的系统拷贝一个taskmgr.exe文件,把它复制到C:/windows/system32目录下,覆盖原文件即可。
