调戏美女.exe 运行后释放文件
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h
C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"

[HKCR\txtfile\shell\open\command]
"(默认)"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
正常值为 "(默认)"="%SystemRoot%\system32\NOTEPAD.EXE %1"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
showall 被删除..

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
explorer 新添加看不懂是撒玩意..

处理方法:
安全模式操作
删除文件
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h
C:\Documents and Settings\用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

删除注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
删除 svchost.exe 键值..

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

修改注册表
[HKCR\txtfile\shell\open\command]
"(默认)" 修改为 "%SystemRoot%\system32\NOTEPAD.EXE %1"

随便在那个路径新键个 记事本 把下面红字 复制到记事本中..保存 然后把后辍改为 .reg 双击导入即可..

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

http://virusfans.135.hezu1.com/mopery/taskmgr.rar
下载..解压..把 taskmgr.exe 复制到 C:\WINDOWS\system32\ 路径..


C:\Documents and Settings\All Users\桌面\告诫.h
内容为
警告：
发现您曾使用盗版了的本公司软件，所以将您部份数据移到锁定了的扇区，若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件

敲诈者病毒作者 真TXX 没想象力..搞来搞去都是这样..
发E-mail 过去 200% 要钱..汇过去也没用..硬盘里的数据不知道被他丢那去了..
问了问小聪..
小聪说:"拿 FinalData 扫扫就能找到数据了..恢复一下就行.."

下文介绍下 FinalData 的用法..
下载地址:http://www.crsky.com/soft/963.html

下载后解压 运行 FinalData.exe 它会要你输入 key 打开 keygen注册机.exe 生成个key 填进去..
FinalData 运行后点下 打开 随变打开那个被此病毒删除数据的盘 然后此软件会开始搜索..耐心等待.. 搜索完成后.. 自己看看那些是 自己本来盘里的文件..右键 恢复一下即可..(被自己删除的一些文件也会找出来..)

FinalData 第一次接触..在虚拟机里试了试..可以找回数据.. 中这毒的可以试试..
-.- 如果没中别拿这软件乱玩.. 出事后果自负..