诈骗者病毒 win1ogon.exe taskmgr.exe解决方法（附专杀工具3楼）

诈骗者, taskmgr, exe, 工具, 解决

今天终于拿到诈骗者病毒样本了（有点晚），NOD32和卡巴最新版本的病毒库还不报。。。

该病毒运行后弹出二个窗口，如图1、2

如果选择确定还是关闭，那么系统会注销，所有不理它
添加文件：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h（内容为：警告：
发现您曾使用盗版了的本公司软件，所以将您部份数据移到锁定了的扇区，若要解锁将文件释放,请电邮softwareinfo888@yahoo.com.cn购买相应的软件）
C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe（复制自身替换原系统任务管理器程序taskmgr.exe）
并删除除系统分区外的其它分区的所有文件（不删除文件夹）
修改C:\WINDOWS\srchasst\mui文件夹内的0804子文件夹名为 0805 （导致系统搜索不可用如图3）

写入注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFolderOptions"=dword:00000001" （隐藏文件夹选项）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
"NoClose"="dword:00000001" （禁用并去掉开始菜单中的关闭计算机按钮）
"NoFind"="dword:00000001" （禁用并去掉开始菜单中的搜索）
"NoRun"="dword:00000001" （禁用并去掉运行）
"StartMenuLogOff"="dword:00000001" （禁用并去掉注销）如图4

关联.txt文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
"默认"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
删除注册表项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
手工查杀病毒流程（因为偶是用影子系统测试，无法重启进入安全模式，所以……）：
1.不理睬那二个窗口（图1、2），下载冰刃：
200712813165750.rar
下载SRENG：
200713118333390.zip
把以上二个文件放到桌面解压缩，
打开冰刃（IceSword），找到进程“C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”右击结束（图1的窗口就没了）。
再打开SRENG－启动项目－注册表，删除 “svchost.exe=C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”，
启动项目－启动文件夹，删除“svchost.com”
系统修复－文件关联，修复.txt
系统修复－Windows Shell / IE－全选，修复
2.开始－程序－附件－记事本，复制粘贴以下代码，保存－保存类型，为所有文件，文件名为showall.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoClose"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
3.删除病毒文件（要先显示隐藏、系统文件，因刚才还原了默认设置）：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\告诫.h
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnr
4.下载该附件（winxp2有效，其它系统请到相同系统版本复制）：
2007252013265.rar
解压文件到 C:\WINDOWS\system32\目录（然后取消那个windows文件保护二次，就会去掉那个窗口）！
修改C:\WINDOWS\srchasst\mui\0805 文件夹名为 0804
5.重新启动系统！（OK，系统修复完毕，还有一些无关紧要的打开方式被破坏，不过不大要紧，以后再设置一下就可）
最重要的是数据修复了！如果有非常重要文件的文件请不要尝试，建议送到数据恢复公司修复！
下载误删文件恢复 Recover4all （内附注册机）
2007251964348.rar
1.挂一块硬盘，准备保存恢复的文件，然后打开Recover4all-Professional.exe，点击你要修复的分区前面的小加号开始描删除的文件！如图5

2.扫描完成后，可以选中你要恢复的文件或文件夹，右击恢复！（绿色部份为被删除的文件，蓝色部份为被删除的文件夹）如图6

3.然后就是选择你要保存的地方了！（两个分区格式必须相同）如图7

注：如果要恢复文件所属的分区格式（NTFS）和要保存恢复的文件分区格式（FAT32）不同，那么该文件是无法恢复成功的！所以两个分区格式必须相同！
数据恢复软件很多不一定要用这个，自行百度一下！
PS：为了分析这个病毒花了偶一天时间。。。

[ 本帖最后由网络vs浪子于 2007-2-25 23:23 编辑 ]

收藏分享评分

《浪子论坛》
电脑安装与维修实用技术（从基础到精通）共20讲视频教程系列

回复引用

订阅 TOP

綾づ舞