一敲诈者病毒的分析及解决方法

　　今天在一个QQ群里发现了一个名为“1500位明星QQ号码大揭密.exe”的文件，据说是个敲诈者还没玩过类似的病毒，于是就试了一下。

　　下面是分析报告

　　病毒运行后生成：
　　C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
　　C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
　　C:\Documents and Settings\All Users\桌面\告诫.h

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面添加启动项目svchost.exe指向C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe

　　修改txt文件关联
　　指向C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe

　　以自身替换C:\WINDOWS\system32\dllcache\taskmgr.exe和C:\WINDOWS\system32\taskmgr.exe 使得任务管理器不可用

　　删除键HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
完全破坏隐藏文件的显示

　　增加键值HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose: 0x00000001
开始菜单无法显示关闭计算机
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\StartMenuLogOff: 0x00000001
开始菜单无法显示注销
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoRun: 0x00000001
开始菜单无法显示运行
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind: 0x00000001
开始菜单无法显示搜索
　　HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001
使得无法显示文件夹选项

　　弹出对话框 “发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件”点击确定或者关闭都将立即注销系统

　　遍历D~Z盘以及C:\Program files\Tencent 删除其下所有文件

　　将C:\WINDOWS\srchasst\mui\0804文件夹复制出来重命名为0805 使得搜索功能失效

　　解决方法：

　　1.下载冰刃(即IceSword120_cn.zip，可到down.45it.com下载)

　　运行后，切换到－查看－进程－结束win1ogon.exe和svchost.com进程

　　2.打开我的电脑进入C:\Windows运行regedit.exe 展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer 分别删除如下键
　　
　　NoClose
　　StartMenuLogOff
　　NoRun
　　NoFind

　　3.此时，开始菜单中的“运行”就出来了。点击“开始”－运行－输入gpedit.msc－打开组策略

　　展开“用户配置”－管理模版－Windows组件－Windows资源管理器，找到从工具菜单删除“文件夹选项” 双击，把其状态改成“已禁用”－确定。

　　4.把下面表格中文字拷入记事本，重命名为1.reg双击导入注册表。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
    00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
    48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
    00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

　　5.双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定。

　　删除：
　　C:\WINDOWS\system32\dllcache\taskmgr.exe
　　C:\WINDOWS\system32\taskmgr.exe
　　C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
　　C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com

　　6.打开sreng(可到down.45it.com下载) 启动项目

　　启动项目注册表删除
　　<svchost.exe><C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe> []
启动文件夹
　　删除[svchost]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com --> [N/A]><N>
　　系统修复
　　文件关联
　　修复txt文件关联

　　7.从其他电脑拷贝一个taskmgr.exe到C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

　　8.使用easyrecovery等软件恢复被删除的文件。(估计很难)