调戏美女.exe 运行后释放文件 C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe C:\Documents and Settings\All Users\桌面\告诫.h C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr C:\WINDOWS\system32\dllcache\taskmgr.exe C:\WINDOWS\system32\taskmgr.exe
写入注册表 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
[HKCR\txtfile\shell\open\command] "(默认)"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe" 正常值为 "(默认)"="%SystemRoot%\system32\NOTEPAD.EXE %1"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL showall 被删除..
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer explorer 新添加看不懂是撒玩意..
处理方法: 安全模式操作 删除文件 C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe C:\Documents and Settings\All Users\桌面\告诫.h C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr C:\WINDOWS\system32\dllcache\taskmgr.exe C:\WINDOWS\system32\taskmgr.exe
删除注册表 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 删除 svchost.exe 键值..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
修改注册表 [HKCR\txtfile\shell\open\command] "(默认)" 修改为 "%SystemRoot%\system32\NOTEPAD.EXE %1"
随便在那个路径新键个 记事本 把下面红字 复制到记事本中..保存 然后把后辍改为 .reg 双击导入即可..
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105"
http://virusfans.135.hezu1.com/mopery/taskmgr.rar 下载..解压..把 taskmgr.exe 复制到 C:\WINDOWS\system32\ 路径..
C:\Documents and Settings\All Users\桌面\告诫.h 内容为 警告: 发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件
敲诈者病毒作者 真TXX 没想象力..搞来搞去都是这样.. 发E-mail 过去 200% 要钱..汇过去也没用..硬盘里的数据不知道被他丢那去了.. 问了问小聪.. 小聪说:"拿 FinalData 扫扫就能找到数据了..恢复一下就行.."
下文介绍下 FinalData 的用法.. 下载地址:http://www.crsky.com/soft/963.html
下载后解压 运行 FinalData.exe 它会要你输入 key 打开 keygen注册机.exe 生成个key 填进去.. FinalData 运行后点下 打开 随变打开那个被此病毒删除数据的盘 然后此软件会开始搜索..耐心等待.. 搜索完成后.. 自己看看那些是 自己本来盘里的文件..右键 恢复一下即可..(被自己删除的一些文件也会找出来..)
FinalData 第一次接触..在虚拟机里试了试..可以找回数据.. 中这毒的可以试试.. -.- 如果没中别拿这软件乱玩.. 出事后果自负..
|