病毒简介

发作现象

清除办法

病毒简介

病毒别名：极品毛毛虫

处理时间：

威胁级别：★★

中文名称：书虫

病毒类型：木马

影响系统：Win9x/Win2000/WinXP/Windows Server 2003

病毒行为:

传奇盗号木马系例，利用QQ发消息传播。

编写工具:VB

发作现象

A、自我复制到系统目录和安装目录

%Windir% askmgr.exe

%system%

oteped.exe

B、添加以下键值

"WinDir" = "%WinDir% askmgr.exe"

到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

以便病毒可随机自启动

C、修改注册表替换TXT文件关联，在打开文本文件时运行病毒

HKEY_CLASSES_ROOT xtfileshellopencommand

"默认" = "Noteped.exe %1"

D、修改注册表更改Internet Explorer的主页

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer

"Main" = "http://www.AllJapaneseArePigs.com/"

E、病毒会向好友发送以下信息，其中“%USER%”会被病毒替换为QQ好友的ID

你好啊，%USER%，今天我在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧，跟你的QQ网名一样，也叫“%USER%”不会就是你写的吧？挺有才的嘛，呵呵！点击下面这个地址可以下载这本书：http://www.book.cn.gg/

1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史台湾是中国不可分割的一部份!!!，请你将此消息发给你QQ上的好友!

你好呀!很久没见你上线了!今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧，跟你的QQ网名一样，也叫“%USER%”不会就是你写的吧？挺有才的嘛，呵呵！点击下面这个地址可以下载这本书：http://www.book.cn.gg/

清除办法

步骤一，使用进程序管理器结束病毒进程

右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“taskmgr.exe和noteped.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

（我的进程中只有“taskmgr.exe”且关不掉）

步骤二，查找并删除病毒程序

通过“我的电脑”或“资源管理器”，

进入系统目录（Winnt或windows)，

找到文件“notepad.exe ”，将它删除，注意清空回收站内的内容；

（这个倒是有，但是也是怎么也删不掉，删了后还会自动生成）

步骤三，清除病毒在注册表里添加的项

打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run

在右边的面板中, 找到并删除如下项目：

"WinDir" = "%WinDir%\\taskmgr.exe"

（我的注册表下根本没有上面说的东西，HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run（这是我的上面的注册信息）

WinDir" = "%WinDir%\\taskmgr.exe（在那个下面也没有这个东西）

恢复TXT文件关联

在左边的面板中, 双击（按箭头顺序查找，找到后双击）：

HKEY_CLASSES_ROOT>txtfile>shell>open>command

"默认" = "Notepad.exe %1"

使用IE的设置将主页恢复