[故障现象]
----------
“打开这种类型的文件之前始终询问”复选框对某些文件类型无效,例如扩展名为 .exe 或 .com 运行程序或命令的文件。如果该复选框无效,那么在每次打开此类型的文件之前您都要被询问。
我该怎么办呢?
[原因]
------
计算机感染名为Trojan.QQPassRecoder.12288 的病毒。
病毒类型:木马
病毒大小:12,288
病毒简介:
运行后会造成一些exe和com文件无法被打开,使用QQ发送消息的时候会自动添加"http://**********快去看看,你感兴趣的”诸如之类的话,由于木马没有判断重复加载进程的问题,所以会造成反复加载木马程序而消耗系统资源。
病毒行为:
(1)运行后会在%windir%\system32\目录下生成svh0st.exe、scanregw.exe和Internets.exe这三个拷贝。
(2)修改注册表
在注册表中添加:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg的项目,内容为:%windir%\system32\Scanregw.exe。
----------------------------------------
修改了exe文件和com文件的默认打开方式:
将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\Internets.exe %1 %。
将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\svh0st.exe %1 %。
----------------------------------------
由于木马设计有缺陷,使得exe和com的打开方式被破坏,一些程序无法运行。
[解决方案]
----------
手工清除方法:
1、运行注册表编辑器(regedit)
2、停掉所有名为svh0st.exe(注意:零和字母o的区别)、scanregw.exe和Internets.exe的进程。
3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为"%1" %*,删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Scanreg项目。
4、删掉%windir%\system32\svh0st.exe、scanregw.exe和Internets.exe文件。
注:
1、上面的%windir%代表你的windows的安装目录,一般为C:\Windows。
2、如果是在98\ME系统的话,上面的system32应为system。
[适用系统]
----------
. Windows 9x及以上操作系统