|
| 首页 >> 『 电脑应用 』 >> 【 原创精华 】 |
| [原创]诈骗者病毒 win1ogon.exe taskmgr.exe解决方法 |
| 作者 网络vs浪子 查看 2379 发表时间 2007/2/6 04:11 【论坛浏览】 |
|
今天终于拿到诈骗者病毒样本了(有点晚了),NOD32和卡巴最新版本的病毒库还不报。。。[em20]kgmdfgx kgmdfgx kgmdfgx 该病毒运行后弹出二个窗口,如图1、2kgmdfgx  kgmdfgxkgmdfgx kgmdfgx  kgmdfgxkgmdfgx kgmdfgx 如果选择确定还是关闭,那么系统会注销,所有不理它kgmdfgx kgmdfgx 添加文件:kgmdfgx C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.comkgmdfgx C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exekgmdfgx C:\Documents and Settings\All Users\桌面\告诫.h(内容为:警告:kgmdfgx 发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件)kgmdfgx C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnrkgmdfgx C:\WINDOWS\system32\dllcache\taskmgr.exekgmdfgx C:\WINDOWS\system32\taskmgr.exe(复制自身替换原系统任务管理器程序taskmgr.exe)kgmdfgx kgmdfgx kgmdfgx 并删除除系统分区外的其它分区的所有文件(不删除文件夹)kgmdfgx 修改C:\WINDOWS\srchasst\mui文件夹内的0804子文件夹名为 0805 (导致系统搜索不可用 如图3)kgmdfgx  kgmdfgxkgmdfgx kgmdfgx 写入注册表:kgmdfgx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runkgmdfgx "svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"kgmdfgx kgmdfgx HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorerkgmdfgx "NoFolderOptions"=dword:00000001" (隐藏文件夹选项)kgmdfgx kgmdfgx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorerkgmdfgx "NoClose"="dword:00000001" (禁用并去掉开始菜单中的 关闭计算机 按钮)kgmdfgx "NoFind"="dword:00000001" (禁用并去掉开始菜单中的 搜索 )kgmdfgx "NoRun"="dword:00000001" (禁用并去掉 运行)kgmdfgx "StartMenuLogOff"="dword:00000001" (禁用并去掉 注销) 如图4kgmdfgx  kgmdfgxkgmdfgx kgmdfgx 关联.txt文件:kgmdfgx HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\commandkgmdfgx "默认"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"kgmdfgx kgmdfgx kgmdfgx 删除注册表项目:kgmdfgx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLkgmdfgx kgmdfgx kgmdfgx 手工查杀病毒流程(因为偶是用影子系统测试,无法重启进入安全模式,所以……):kgmdfgx 1.不理睬那二个窗口(图1、2),下载冰刃:kgmdfgx kgmdfgx odiW656R.rarkgmdfgx kgmdfgx 下载SRENG:kgmdfgx kgmdfgx qnm0bnZd.zipkgmdfgx kgmdfgx 把以上二个文件放到桌面解压缩,kgmdfgx 打开冰刃(IceSword),找到进程“C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”右击结束(图1的窗口就没了)。kgmdfgx 再打开SRENG-启动项目-注册表,删除 “svchost.exe=C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”,kgmdfgx 启动项目-启动文件夹,删除“svchost.com”kgmdfgx 系统修复-文件关联,修复.txtkgmdfgx 系统修复-Windows Shell / IE-全选,修复kgmdfgx kgmdfgx kgmdfgx 2.开始-程序-附件-记事本,复制 粘贴以下代码,保存-保存类型,为 所有文件,文件名为showall.regkgmdfgx kgmdfgx kgmdfgx Windows Registry Editor Version 5.00kgmdfgx kgmdfgx kgmdfgx [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]kgmdfgx "NoClose"=-kgmdfgx kgmdfgx kgmdfgx [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]kgmdfgx "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"kgmdfgx "Text"="@shell32.dll,-30500"kgmdfgx "Type"="radio"kgmdfgx "CheckedValue"=dword:00000001kgmdfgx "ValueName"="Hidden"kgmdfgx "DefaultValue"=dword:00000002kgmdfgx "HKeyRoot"=dword:80000001kgmdfgx "HelpID"="shell.hlp#51105"kgmdfgx kgmdfgx kgmdfgx 3.删除病毒文件(要先显示隐藏、系统文件,因刚才还原了默认设置):kgmdfgx C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.comkgmdfgx C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exekgmdfgx C:\Documents and Settings\All Users\桌面\告诫.hkgmdfgx C:\WINDOWS\system32\dllcache\taskmgr.exekgmdfgx C:\WINDOWS\system32\taskmgr.exekgmdfgx C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnrkgmdfgx kgmdfgx kgmdfgx 4.下载该附件(winxp2有效,其它系统请到相同系统版本复制):kgmdfgx XrKaoOhK.rarkgmdfgx 解压文件到 C:\WINDOWS\system32\目录(然后取消那个windows文件保护二次,就会去掉那个窗口)!kgmdfgx 修改C:\WINDOWS\srchasst\mui\0805 文件夹名为 0804kgmdfgx kgmdfgx kgmdfgx 5.重新启动系统!(OK,系统修复完毕,还有一些无关紧要的打开方式被破坏,不过不大要紧,以后再设置一下就可)kgmdfgx kgmdfgx kgmdfgx 最重要的是数据修复了!如果有非常重要文件的文件请不要尝试,建议送到数据恢复公司修复![/COLOR]kgmdfgx kgmdfgx kgmdfgx 下载误删文件恢复 Recover4all (内附注册机)kgmdfgx kgmdfgx yOZ6TPxl.rarkgmdfgx kgmdfgx kgmdfgx kgmdfgx 1.挂一块硬盘,准备保存恢复的文件,然后打开Recover4all-Professional.exe,点击你要修复的分区前面的小加号开始描删除的文件!如图5kgmdfgx  kgmdfgxkgmdfgx kgmdfgx 2.扫描完成后,可以选中你要恢复的文件或文件夹,右击恢复!(绿色部份为被删除的文件,蓝色部份为被删除的文件夹)如图6kgmdfgx  kgmdfgxkgmdfgx kgmdfgx 3.然后就是选择你要保存的地方了!(两个分区格式必须相同)如图7kgmdfgx  kgmdfgxkgmdfgx kgmdfgx 注:如果要恢复文件所属的分区格式(NTFS)和要保存恢复的文件分区格式(FAT32)不同,那么该文件是无法恢复成功的!所以两个分区格式必须相同![/COLOR]kgmdfgx kgmdfgx 数据恢复软件很多不一定要用这个,自行百度一下!kgmdfgx kgmdfgx PS:为了分析这个病毒花了偶一天时间。。。kgmdfgx kgmdfgx kgmdfgx kgmdfgx 回复:[原创]诈骗者病毒 win1ogon.exe taskmgr.exe解决方法kgmdfgx 编写了个专杀工具,希望给WINXP用户带来方便(注:本程序只适用于WINXP2)kgmdfgx 诈骗者批处理专杀工具v1.0kgmdfgx [em106]非常感谢红色代码的帮助![em107]kgmdfgx kgmdfgx kgmdfgx 附件: 02.24更新kgmdfgx 诈骗者专杀工具v1.3.rarkgmdfgx 2007/2/24 12:33, 52.89 KB, 下载次数: 19kgmdfgx |
| 序号 | 评论者 | 共有评论 1 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | waterking | 非常好!可是下载不来 | 2008/7/7 10:11 |
共有评论数 1 每页显示 10
|
|||
