论坛: 病毒专区 标题: 注意“调戏美女.exe(硬盘敲诈者)”病毒 复制本贴地址    
作者: 流浪猫猫 [rovecat]    版主   登录
调戏美女.exe 运行后释放文件
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h
C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"

[HKCR\txtfile\shell\open\command]
"(默认)"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
正常值为 "(默认)"="%SystemRoot%\system32\NOTEPAD.EXE %1"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
showall 被删除..

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
explorer 新添加看不懂是撒玩意..

症状:下面有俩张图大家看看..还有就是 删除除系统盘以外的盘符数据..疯狂注销..






处理方法:
安全模式操作
删除文件
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h
C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

删除注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
删除 svchost.exe 键值..

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

修改注册表
[HKCR\txtfile\shell\open\command]
"(默认)" 修改为 "%SystemRoot%\system32\NOTEPAD.EXE %1"

随便在那个路径新键个 记事本 把下面红字 复制到记事本中..保存 然后把后辍改为 .reg 双击导入即可..
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

http://virusfans.135.hezu1.com/mopery/taskmgr.rar
下载..解压..把 taskmgr.exe 复制到 C:\WINDOWS\system32\ 路径..


C:\Documents and Settings\All Users\桌面\告诫.h
内容为
警告:
发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件

敲诈者病毒作者 真TXX 没想象力..搞来搞去都是这样..
发E-mail 过去 200% 要钱..汇过去也没用..硬盘里的数据不知道被他丢那去了..
高手说:"拿 FinalData 扫扫就能找到数据了..恢复一下就行.."

下文介绍下 FinalData 的用法..
下载地址:http://www.crsky.com/soft/963.html

下载后解压 运行 FinalData.exe 它会要你输入 key 打开 keygen注册机.exe 生成个key 填进去..
FinalData 运行后点下 打开 随变打开那个被此病毒删除数据的盘 然后此软件会开始搜索..耐心等待.. 搜索完成后.. 自己看看那些是 自己本来盘里的文件..右键 恢复一下即可..(被自己删除的一些文件也会找出来..)

FinalData 第一次接触..在虚拟机里试了试..可以找回数据.. 中这毒的可以试试..
-.- 如果没中别拿这软件乱完.. 出事后果自负..
这是finaldata工作图




地主 发表时间: 07-01-21 11:19

回复: radom [f_h]   论坛用户   登录
数据恢复,不是能100%的能恢复好.有的exe文件都不能运行.文本文档之类的,都会有乱码产生的可能.所以.告诫:最好不要中此毒,按此描述,此毒很流氓!

B1层 发表时间: 07-01-23 19:09

回复: 流浪猫猫 [rovecat]   版主   登录
回楼上“最好不要中此毒”,嗬嗬,俺希望最好什么毒也不要中

B2层 发表时间: 07-01-24 15:32

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号