|
|
1#
发表于 2007-2-6 14:21
| 只看该作者
诈骗者病毒 win1ogon.exe taskmgr.exe解决方法(附专杀工具3楼)
今天终于拿到诈骗者病毒样本了(有点晚),NOD32和卡巴最新版本的病毒库还不报。。。
) d( [/ x1 i! X9 `, o该病毒运行后弹出二个窗口,如图1、2
& x4 c$ ^# l! o# \ & C$ a" V0 L- E- W( K/ G
 6 c6 d9 R6 ]0 b, r1 M( }/ ~
如果选择确定还是关闭,那么系统会注销,所有不理它
2 G7 ~- r5 Q* @* D9 U添加文件:
* [. ~' Y& \% p7 h9 i6 v5 ZC:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
" I' ]4 P2 w' f! X' s) A% ZC:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
) d! F) \) @( j8 aC:\Documents and Settings\All Users\桌面\告诫.h(内容为:警告:5 L, S0 l! {: K
发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件)1 t1 d, F! _ ?$ J% j- D
C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnr
" ` V$ [8 S9 b( gC:\WINDOWS\system32\dllcache\taskmgr.exe
( f1 I% d6 @7 V, {& }C:\WINDOWS\system32\taskmgr.exe(复制自身替换原系统任务管理器程序taskmgr.exe)5 [+ [( v- D: v" m x# h) O& z
并删除除系统分区外的其它分区的所有文件(不删除文件夹)
5 i, G6 S; m& G( A$ E修改C:\WINDOWS\srchasst\mui文件夹内的0804子文件夹名为 0805 (导致系统搜索不可用 如图3)
6 i2 `) l3 I$ L; n( M2 U % |6 @! u* Y7 _0 e6 N7 f& A( t3 @2 T( f
写入注册表:- C1 x# u4 B3 ], K
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: X0 o0 i8 F- v5 c
"svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
: M% R; s8 @, y' S+ g& d& Z; r/ q8 nHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3 i% U; c {2 T' j4 X% s) w8 J; x" `"NoFolderOptions"=dword:00000001" (隐藏文件夹选项); V, B/ Y# I* ~" |, t& V9 L
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer6 s3 o7 w8 P, n" w' V5 j
"NoClose"="dword:00000001" (禁用并去掉开始菜单中的 关闭计算机 按钮). M/ q) B3 V2 D T+ V
"NoFind"="dword:00000001" (禁用并去掉开始菜单中的 搜索 )
" a a$ I7 H* }1 C5 {; I"NoRun"="dword:00000001" (禁用并去掉 运行); V1 {1 ]% b- O& w4 r* X
"StartMenuLogOff"="dword:00000001" (禁用并去掉 注销) 如图4
. T6 G0 L6 ^: V1 z/ w , g6 e7 u6 R/ \" s C
关联.txt文件:7 X: R+ D1 d2 Y3 \7 M
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
5 R7 W) m6 ^4 R. R' H4 j8 i' @"默认"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
2 u4 X A2 T0 T9 { T删除注册表项目:$ W8 u4 D7 d# B- }1 ^3 G) I, d6 c
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
' P$ A4 o) ?$ c% ?$ p7 z手工查杀病毒流程(因为偶是用影子系统测试,无法重启进入安全模式,所以……):
$ ]# W* J" N, R, }) ~' \' O: Q1.不理睬那二个窗口(图1、2),下载冰刃:
' [' a: O; n' C5 s4 m h200712813165750.rar
8 q7 I7 f$ C2 {* [下载SRENG:: G; |, Q* ^1 C+ W: k
200713118333390.zip X5 ]8 W. V9 z9 h- h* ^( B
把以上二个文件放到桌面解压缩,$ l0 q# h2 q3 t0 i$ G% z
打开冰刃(IceSword),找到进程“C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”右击结束(图1的窗口就没了)。* r: [" o. m: j7 c. t2 }8 G E
再打开SRENG-启动项目-注册表,删除 “svchost.exe=C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”,
/ D- ?" R9 S* H$ }: i( d启动项目-启动文件夹,删除“svchost.com”' H' a Y3 m- b9 K* \0 A
系统修复-文件关联,修复.txt
0 n9 |3 y% q* }- S7 |: C. I系统修复-Windows Shell / IE-全选,修复" G# F* f! h1 X; t4 ~. @) M
2.开始-程序-附件-记事本,复制 粘贴以下代码,保存-保存类型,为 所有文件,文件名为showall.reg' C2 A" ] y- U0 H8 M0 u. w
Windows Registry Editor Version 5.00
& R! S z) @) c4 o* y2 v[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
. p! j C, l$ k4 x"NoClose"=-
8 G% C1 @4 `2 m[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
, p M0 X: |6 J"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"; ?# s4 ^. f( M0 s
"Text"="@shell32.dll,-30500"
: ]: h) {" S* @% ~9 X* n"Type"="radio"
8 `1 O% [( B) ^ k" h: j- z"CheckedValue"=dword:00000001
2 q0 W1 T7 n* ]"ValueName"="Hidden"$ C* Z* W. ^0 h0 g
"DefaultValue"=dword:00000002
2 |1 e& @9 a, P8 \. V"HKeyRoot"=dword:80000001# F0 |; T/ K3 `0 e
"HelpID"="shell.hlp#51105"
8 l6 \* k" W* O, y/ G: [- P3.删除病毒文件(要先显示隐藏、系统文件,因刚才还原了默认设置):
: a. v3 H; r3 ~) `! j- q1 d4 FC:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com! p' a/ A& k' l1 q7 Y, i: ^" v
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
1 Z/ }4 o. ?( S$ Z% d( k ]4 NC:\Documents and Settings\All Users\桌面\告诫.h! G0 W8 O# p2 }2 g" I& T! b) r
C:\WINDOWS\system32\dllcache\taskmgr.exe P0 e9 K3 |0 ?+ @0 }8 m
C:\WINDOWS\system32\taskmgr.exe8 m, D7 A2 T0 \ q: A
C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnr2 q' E8 O- \5 t3 f! I( M
4.下载该附件(winxp2有效,其它系统请到相同系统版本复制):
! l8 J0 \% O; O4 Q$ w2007252013265.rar 2 }) k1 s3 l, U$ T* S* |- {+ X
解压文件到 C:\WINDOWS\system32\目录(然后取消那个windows文件保护二次,就会去掉那个窗口)!9 I/ d% n7 m' g' y4 R1 Q Z
修改C:\WINDOWS\srchasst\mui\0805 文件夹名为 08049 V9 S2 V R. n, Q
5.重新启动系统!(OK,系统修复完毕,还有一些无关紧要的打开方式被破坏,不过不大要紧,以后再设置一下就可)
* O5 [$ E8 ~; t _最重要的是数据修复了!如果有非常重要文件的文件请不要尝试,建议送到数据恢复公司修复!
5 _: S! I7 U1 v0 I下载误删文件恢复 Recover4all (内附注册机)
4 G( _; `& M2 y) e9 k& o2007251964348.rar # C+ t* @- a" | A t
1.挂一块硬盘,准备保存恢复的文件,然后打开Recover4all-Professional.exe,点击你要修复的分区前面的小加号开始描删除的文件!如图5
# L& j" W5 g! E$ x1 J; n. i2.扫描完成后,可以选中你要恢复的文件或文件夹,右击恢复!(绿色部份为被删除的文件,蓝色部份为被删除的文件夹)如图6 6 J# b. A) [0 E' s! f1 ?: }/ f
3.然后就是选择你要保存的地方了!(两个分区格式必须相同)如图7
, a3 {( C8 Q+ U N! d0 `, l , L/ z: i6 @ R# M' E3 t
注:如果要恢复文件所属的分区格式(NTFS)和要保存恢复的文件分区格式(FAT32)不同,那么该文件是无法恢复成功的!所以两个分区格式必须相同!5 x0 C0 M$ H/ h
数据恢复软件很多不一定要用这个,自行百度一下!7 }* |1 l; _/ f' W
PS:为了分析这个病毒花了偶一天时间。。。
: g' ^; N5 W2 I8 `
7 r6 l4 E6 d, D, r[ 本帖最后由 网络vs浪子 于 2007-2-25 23:23 编辑 ] |
|
发表于 2007-2-6 17:18
| 
