二、解决方案 推荐方案: 安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。 超级巡警下载地址:http://www.sucop.com/2009/0214/4.html 手工清除方法: 1、删除病毒添加的注册表键值 删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "kdxxx.exe" 清空HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon System 2、重启系统后删除病毒生成的文件。 %SystemRoot%\system32\kdxxx.exe 3、控制面板-网络连接-Internet(TCP/IP)属性-修改dns设置为自动获取或者手动输入一个正常的dns服务器地址 三、安全建议 1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。 2、禁用不必要的服务。 3、不要随便打开不明来历的电子邮件,尤其是邮件附件。 4、不要随意下载不安全网站的文件并运行。 5、下载和新拷贝的文件要首先进行查毒。 6、不要轻易打开即时通讯工具中发来的链接或可执行文件。 7、使用移动存储介质进行数据访问时,先对其进行病毒检查,建议使用超级巡警U盘免疫器进行免疫。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%System32。其它: %SystemDrive% 系统安装的磁盘分区 %SystemRoot% = %Windir% WINDODWS系统目录 %ProgramFiles% 应用程序默认安装目录 %AppData% 应用程序数据目录 %CommonProgramFiles% 公用文件目录 %HomePath% 当前活动用户目录 %Temp% =%Tmp% 当前活动用户临时目录 %DriveLetter% 逻辑驱动器分区 %HomeDrive% 当前用户系统所在分区
超级巡警团队监测到恶意程序Trojan.Win32.AD.sq正在传播,该病毒运行后创建病毒文件,屏蔽任务管理器以及对病毒文件的右键属性功能,并导致用户无法浏览图片等,自动打开大量广告网页及黄色网站,严重影响用户电脑的运行速度和网速。超级巡警提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析: 病毒标签: 病毒名称:Trojan.Win32.AD.sq 病毒类型:木马类 危害级别:3 感染平台:Windows 病毒大小:69,632 字节 S H A 1 :f902318c15115b28a6cb5a241985790829a6c108 加壳类型:无壳 开发工具:Microsoft Visual C++ 6.0 病毒行为: 1、该病毒运行后创建并运行以下病毒文件: %Windir%\DLECOQ.bat %Windir%\E3CO3VEIF.exe(名称随机,大小69,632 字节) %ProgramFiles%\KVBTR.exe(名称随机,大小32,768 字节) %ProgramFiles%\QZVBEJX654OV.bat(名称随机,大小1,377 字节) %ProgramFiles%\8YMF8GZRLVG(文件夹名称随机) %ProgramFiles%\8YMF8GZRLVG\RCD6T2RJ4P.exe(名称随机,大小69,632 字节) 2、调用命令解释程序运行生成的如下文件: %ProgramFiles%\QZVBEJX654OV.bat(名称随机,大小1,377 字节) 文件执行完毕后,删除自身。 3、设置病毒文件属性为:只读,隐藏,系统。 4、创建启动类型为自动的Windows服务:sc.exe create XAC4OT4CD 显示名称:3YF2X7J6(名称随机) 5、解除以下服务,方便下载木马等: regsvr32.exe /u /s shimgvw.dll :导致用户无法浏览图片照片等 regsvr32.exe /u /s itss.dll :导致用户无法打开CHM/ITS格式文件 regsvr32.exe /u /s scrrun.dll:利于基于FSO组件的ASP木马的下载执行 regsvr32.exe /u /s vbscript.dll:反注册Vbscript.dll,让某些网页无法浏览 regsvr32.exe /s jscript.dll:注册jscript.dll,不管成功与否均不显示提示框 6、添加以下注册表项来修改internet选项设置: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Background_Sounds /t REG_SZ /d no :禁止播放HTML中的背景音乐 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Play_Animations /t REG_SZ /d no :禁止播放网页中的动画 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Videos /t REG_SZ /d no :禁止下载视频 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Display Inline Images /t REG_SZ /d yes :可以显示图像 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\DisableScriptDebuggerIE /t REG_SZ /d yes :禁用IE中Script错误报告 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Disable Script Debugger /t REG_SZ /d yes :禁止脚本调试 7、删除以下注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 8、删除系统盘Windows下Media文件夹内的所有文件: del %Windir%\Media\*.* /Q 9、利用FindWindow屏蔽任务管理器以及对病毒文件的右键属性功能。9 7 3 1 2 3 4 5 4 8 :