小心被敲詐 警惕惡意QiaoZhaz.d木馬

字號(hào):

Trojan.Win32.QiaoZhaz.d屬木馬類,病毒運(yùn)行后彈出對(duì)話框,內(nèi)容為“發(fā)現(xiàn)您硬盤內(nèi)曾使用過盜版了的我公司軟件 , 所以將您部份文件移到鎖定了的扇區(qū) , 若要解鎖將文件釋放 , 在 2000 系統(tǒng)下點(diǎn)擊確定后不自動(dòng)注銷。XP 系統(tǒng)下點(diǎn)擊確定后系統(tǒng)會(huì)自動(dòng)注銷,由于病毒加載了啟動(dòng)項(xiàng),所以開機(jī)病毒會(huì)自動(dòng)運(yùn)
    Trojan.Win32.QiaoZhaz.d屬木馬類,病毒運(yùn)行后彈出對(duì)話框,內(nèi)容為“發(fā)現(xiàn)您硬盤內(nèi)曾使用過盜版了的我公司軟件 , 所以將您部份文件移到鎖定了的扇區(qū) 在 2000 系統(tǒng)下點(diǎn)擊確定后不自動(dòng)注銷。XP 系統(tǒng)下點(diǎn)擊確定后系統(tǒng)會(huì)自動(dòng)注銷,由于病毒加載了啟動(dòng)項(xiàng),所以開機(jī)病毒會(huì)自動(dòng)運(yùn)行,會(huì)繼續(xù)彈出對(duì)話框,反復(fù)循環(huán)。病毒衍生文件到系統(tǒng)目錄下,在啟動(dòng)文件夾內(nèi)衍生病毒文件,并重命名為 svchost.exe 。創(chuàng)建服務(wù),并以服務(wù)的方式達(dá)到隨機(jī)啟動(dòng)的目的。去除“文件夾選項(xiàng)”,使用戶無法選擇“顯示所有隱藏文件”和不能去掉“隱藏受保護(hù)的系統(tǒng)文件”“隱藏已知文件類型的擴(kuò)展名”。去除開始菜單中的“搜索”、“運(yùn)行”項(xiàng)和“關(guān)機(jī)”項(xiàng),使用戶不能使用搜索、 command 命令和關(guān)機(jī)、注銷。修改 txt 文件關(guān)聯(lián),當(dāng)用戶試圖運(yùn)行 txt 文件時(shí),則會(huì)激活病毒,同樣的辦法修改任務(wù)管理器關(guān)聯(lián),無論用戶怎樣打開任務(wù)管理器,都會(huì)激活病毒。病毒把屏保時(shí)間修改為60 秒,在 %system32% 文件夾下生成病毒屏保文件,當(dāng)用戶 60 秒不操作計(jì)算機(jī)時(shí),系統(tǒng)會(huì)自動(dòng)運(yùn)行病毒。該病毒利用多種方法來保護(hù)自身。刪除非系統(tǒng)盤外的所有文件,并在每個(gè)盤符下建立一個(gè)名為:警告 .h 的文件。該病毒的行為極其惡劣,不停的彈出對(duì)話框,對(duì)用戶進(jìn)行敲詐勒索。
    清除方案:刪除對(duì)應(yīng)文件,恢復(fù)相關(guān)系統(tǒng)設(shè)置。
    (1)首先關(guān)閉下列病毒進(jìn)程:
    win1ogon.exe < 路徑 : C:\Documents and Settings\All Users\
    Application Data\Microsoft\win1ogon.exe>
    svchost.exe < 路徑 : C:\Documents and Settings\Administrator\
    開始」菜單 \ 程序 \ 啟動(dòng) \svchost.exe>
    (2)刪除病毒文件:
    %Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe
    %Documents and Settings%\All Users\ 「開始」菜單 \ 程序 \ 啟動(dòng) \svchost.com
    %Documents and Settings%\All Users\ 桌面 \ 警告 .h
    %Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr
    %Documents and Settings%\commander\NTUSER.DAT.LOG
    %WINDIR%\Debug\UserMode\userenv.log
    %WINDIR%\setupapi.log
    %system32%\CatRoot2\dberr.txt
    %system32%\config\default.LOG
    %system32%\config\software.LOG
    %system32%\config\system.LOG
    %system32%\taskmgr.exe
    %system32%\wins.com
    %system32%\ 飛越星球 .scr
    (3)將下列內(nèi)容導(dǎo)入注冊(cè)表里,
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\
    Hidden\SHOWALL]
    "CheckedValue"=dword:00000001
    "DefaultValue"=dword:00000002
    "HelpID"="shell.hlp#51105"
    "HKeyRoot"=dword:800000001
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30500"
    "Type"="radio"
    "ValueName"="Hidden"
    [HKEY_CURRENT_USER\Control Panel\Desktop]
    "ScreenSaveTimeOut"="900"
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "Hidden"=dword:00000001
    "HideFileExt"=dword:00000000
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    [HKEY_CLASSES_ROOT\txtfile\shell\open\command]
    @="C:\\WINDOWS\\notepad.exe %1"
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
    [HKEY_CURRENT_USER\Control Panel\Desktop]
    "SCRNSAVE.EXE"="nothing"
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "svchost.exe"="nothing"
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WINS ]