|
| 首页 >> 『 电脑应用 』 >> 【 原创精华 】 |
| 敲诈者病毒变种 SVCH0ST.EXE解决方法 (附专杀工具2楼) |
| 作者 网络vs浪子 查看 5171 发表时间 2007/2/11 04:28 【论坛浏览】 |
|
不知道说诈骗者好呢还是敲诈者好!ptpksywy 该病毒运行后弹出二个窗口,如图1、2ptpksywy  ptpksywy ptpksywyptpksywy ptpksywy 如果选择确定还是关闭,那么系统会注销,所有不理它ptpksywy 添加文件:ptpksywy C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.comptpksywy C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exeptpksywy C:\Documents and Settings\All Users\桌面\警告.h(内容为:警告:ptpksywy 发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件)ptpksywy C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnrptpksywy C:\WINDOWS\system32\dllcache\taskmgr.exeptpksywy C:\WINDOWS\system32\taskmgr.exe(复制自身替换原系统任务管理器程序taskmgr.exe)ptpksywy 并删除除系统分区外的其它分区的所有文件(不删除文件夹)ptpksywy 修改C:\WINDOWS\srchasst\mui文件夹内的0804子文件夹名为 0805 (导致系统搜索不可用 如图3)ptpksywy  ptpksywy每个分区下生成autorun.inf、SVCH0ST.EXE和警告.hptpksywy C:\WINDOWS\system32\wins.comptpksywy 写入注册表:ptpksywy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicesptpksywy 添加“wins"项目(也就是服务,服务名LocalSystem,说明WINS为客户提供系统域名解析服务)ptpksywy 指向C:\windows\system32\wins.comptpksywy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runptpksywy "svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"ptpksywy HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorerptpksywy "NoFolderOptions"=dword:00000001" (隐藏文件夹选项)ptpksywy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\systemptpksywy "legalnoticecaption"="警告:"ptpksywy "legalnoticetext"=" 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件" (注销或关机弹出一窗口,内容如上)ptpksywy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorerptpksywy "NoClose"="dword:00000001" (禁用并去掉开始菜单中的 关闭计算机 按钮)ptpksywy "NoFind"="dword:00000001" (禁用并去掉开始菜单中的 搜索 )ptpksywy "NoRun"="dword:00000001" (禁用并去掉 运行)ptpksywy "StartMenuLogOff"="dword:00000001" (禁用并去掉 注销) 如图4ptpksywy  ptpksywy关联.txt文件:ptpksywy HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\commandptpksywy "默认"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"ptpksywy 删除注册表项目:ptpksywy HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLptpksywy 手工查杀方法:ptpksywy 1.不理睬那二个窗口(图1、2),下载冰刃:ptpksywy 200712813165750.rarptpksywy 下载SRENG:ptpksywy 200713118333390.zip ptpksywy 把以上二个文件放到桌面解压缩,ptpksywy 打开冰刃(IceSword),找到进程“C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”和“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com”右击结束,如果你双击过分区要结束相同图标的进程!如图(图1的窗口就没了)。ptpksywy  ptpksywyptpksywy ptpksywy 再打开SRENG-启动项目-注册表,删除 “svchost.exe=C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”,ptpksywy 启动项目-启动文件夹,删除“svchost.com”ptpksywy 系统修复-文件关联,修复.txtptpksywy 系统修复-Windows Shell / IE-全选,修复ptpksywy 2.开始-程序-附件-记事本,复制 粘贴以下代码,保存-保存类型,为 所有文件,文件名为showall.regptpksywy Windows Registry Editor Version 5.00ptpksywy [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]ptpksywy "NoClose"=-ptpksywy [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WINS ]ptpksywy [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]ptpksywy ptpksywy [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]ptpksywy "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"ptpksywy "Text"="@shell32.dll,-30500"ptpksywy "Type"="radio"ptpksywy "CheckedValue"=dword:00000001ptpksywy "ValueName"="Hidden"ptpksywy "DefaultValue"=dword:00000002ptpksywy "HKeyRoot"=dword:80000001ptpksywy "HelpID"="shell.hlp#51105"ptpksywy 3.删除病毒文件(要先显示隐藏、系统文件,因刚才还原了默认设置):ptpksywy C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.comptpksywy C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exeptpksywy C:\Documents and Settings\All Users\桌面\警告.hptpksywy C:\WINDOWS\system32\dllcache\taskmgr.exeptpksywy C:\WINDOWS\system32\taskmgr.exeptpksywy C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnrptpksywy C:\WINDOWS\system32\wins.comptpksywy 每个分区下生成autorun.inf、SVCH0ST.EXE和警告.hptpksywy 4.下载该附件(winxp2有效,其它系统请到相同系统版本复制): ptpksywy 2007252013265.rar ptpksywy 解压文件到 C:\WINDOWS\system32\目录(然后取消那个windows文件保护二次,就会去掉那个窗口)!ptpksywy 修改C:\WINDOWS\srchasst\mui\0805 文件夹名为 0804ptpksywy 相关帖子:诈骗者病毒 win1ogon.exe taskmgr.exe解决方法 http://bbs.20lz.com/viewthread.php?tid=2033&extra=page%3D1 |
| 序号 | 评论者 | 共有评论 8 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | fyy9fyy | 回复:敲诈者病毒变种 SVCH0ST.EXE解决方法 好东西,虽然看不懂..但还是学习中.....呵呵, |
2007/2/11 07:36 |
| 2 | 网络vs浪子 | 回复:敲诈者病毒变种 SVCH0ST.EXE解决方法 (附专杀工具2楼) 附上专杀工具! 诈骗者专杀工具1.2 修复正了系统分区不是C盘检测不到病毒! 请解压缩文件到同一目录下!再运行专杀 |
2007/2/11 09:15 |
| 3 | 小青 | 好东西 |
2007/12/9 16:11 |
| 4 | zhigang1 | 谢谢了.要杀杀看 | 2007/12/27 19:27 |
| 5 | lijun1020 | 我也中病毒了 | 2008/4/7 11:58 |
| 6 | eagleliu2 | let me try | 2008/5/2 21:57 |
| 7 | xword | 我中病毒了 谢谢提供 |
2008/5/27 21:52 |
| 8 | nUllmapl | 谢谢楼主了· 很是需要呢 |
2008/7/3 13:07 |
共有评论数 8 每页显示 10
|
|||
