|
| 敲诈者病毒变种 SVCH0ST.EXE解决方法 (附专杀工具2楼) |
| 作者 网络vs浪子 查看 5432 发表时间 2007/2/11 04:28 【论坛浏览】 |
|
不知道说诈骗者好呢还是敲诈者好!zkmvdyfhz 该病毒运行后弹出二个窗口,如图1、2zkmvdyfhz
 zkmvdyfhzzkmvdyfhz zkmvdyfhz 如果选择确定还是关闭,那么系统会注销,所有不理它zkmvdyfhz 添加文件:zkmvdyfhz C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.comzkmvdyfhz C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exezkmvdyfhz C:\Documents and Settings\All Users\桌面\警告.h(内容为:警告:zkmvdyfhz 发现您曾使用盗版了的本公司软件,所以将您部份数据移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件)zkmvdyfhz C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnrzkmvdyfhz C:\WINDOWS\system32\dllcache\taskmgr.exezkmvdyfhz C:\WINDOWS\system32\taskmgr.exe(复制自身替换原系统任务管理器程序taskmgr.exe)zkmvdyfhz 并删除除系统分区外的其它分区的所有文件(不删除文件夹)zkmvdyfhz 修改C:\WINDOWS\srchasst\mui文件夹内的0804子文件夹名为 0805 (导致系统搜索不可用 如图3)zkmvdyfhz
每个分区下生成autorun.inf、SVCH0ST.EXE和警告.hzkmvdyfhz C:\WINDOWS\system32\wins.comzkmvdyfhz 写入注册表:zkmvdyfhz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviceszkmvdyfhz 添加“wins"项目(也就是服务,服务名LocalSystem,说明WINS为客户提供系统域名解析服务)zkmvdyfhz 指向C:\windows\system32\wins.comzkmvdyfhz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runzkmvdyfhz "svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"zkmvdyfhz HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorerzkmvdyfhz "NoFolderOptions"=dword:00000001" (隐藏文件夹选项)zkmvdyfhz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\systemzkmvdyfhz "legalnoticecaption"="警告:"zkmvdyfhz "legalnoticetext"=" 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件" (注销或关机弹出一窗口,内容如上)zkmvdyfhz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorerzkmvdyfhz "NoClose"="dword:00000001" (禁用并去掉开始菜单中的 关闭计算机 按钮)zkmvdyfhz "NoFind"="dword:00000001" (禁用并去掉开始菜单中的 搜索 )zkmvdyfhz "NoRun"="dword:00000001" (禁用并去掉 运行)zkmvdyfhz "StartMenuLogOff"="dword:00000001" (禁用并去掉 注销) 如图4zkmvdyfhz
关联.txt文件:zkmvdyfhz HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\commandzkmvdyfhz "默认"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"zkmvdyfhz 删除注册表项目:zkmvdyfhz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLzkmvdyfhz 手工查杀方法:zkmvdyfhz 1.不理睬那二个窗口(图1、2),下载冰刃:zkmvdyfhz 200712813165750.rarzkmvdyfhz 下载SRENG:zkmvdyfhz 200713118333390.zip zkmvdyfhz 把以上二个文件放到桌面解压缩,zkmvdyfhz 打开冰刃(IceSword),找到进程“C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”和“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com”右击结束,如果你双击过分区要结束相同图标的进程!如图(图1的窗口就没了)。zkmvdyfhz  zkmvdyfhzzkmvdyfhz zkmvdyfhz 再打开SRENG-启动项目-注册表,删除 “svchost.exe=C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”,zkmvdyfhz 启动项目-启动文件夹,删除“svchost.com”zkmvdyfhz 系统修复-文件关联,修复.txtzkmvdyfhz 系统修复-Windows Shell / IE-全选,修复zkmvdyfhz 2.开始-程序-附件-记事本,复制 粘贴以下代码,保存-保存类型,为 所有文件,文件名为showall.regzkmvdyfhz Windows Registry Editor Version 5.00zkmvdyfhz [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]zkmvdyfhz "NoClose"=-zkmvdyfhz [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WINS ]zkmvdyfhz [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]zkmvdyfhz zkmvdyfhz [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]zkmvdyfhz "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"zkmvdyfhz "Text"="@shell32.dll,-30500"zkmvdyfhz "Type"="radio"zkmvdyfhz "CheckedValue"=dword:00000001zkmvdyfhz "ValueName"="Hidden"zkmvdyfhz "DefaultValue"=dword:00000002zkmvdyfhz "HKeyRoot"=dword:80000001zkmvdyfhz "HelpID"="shell.hlp#51105"zkmvdyfhz 3.删除病毒文件(要先显示隐藏、系统文件,因刚才还原了默认设置):zkmvdyfhz C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.comzkmvdyfhz C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exezkmvdyfhz C:\Documents and Settings\All Users\桌面\警告.hzkmvdyfhz C:\WINDOWS\system32\dllcache\taskmgr.exezkmvdyfhz C:\WINDOWS\system32\taskmgr.exezkmvdyfhz C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnrzkmvdyfhz C:\WINDOWS\system32\wins.comzkmvdyfhz 每个分区下生成autorun.inf、SVCH0ST.EXE和警告.hzkmvdyfhz 4.下载该附件(winxp2有效,其它系统请到相同系统版本复制): zkmvdyfhz 2007252013265.rar zkmvdyfhz 解压文件到 C:\WINDOWS\system32\目录(然后取消那个windows文件保护二次,就会去掉那个窗口)!zkmvdyfhz 修改C:\WINDOWS\srchasst\mui\0805 文件夹名为 0804zkmvdyfhz 相关帖子:诈骗者病毒 win1ogon.exe taskmgr.exe解决方法 http://bbs.20lz.com/viewthread.php?tid=2033&extra=page%3D1 |
| 序号 | 评论者 | 共有评论 8 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | fyy9fyy | 回复:敲诈者病毒变种 SVCH0ST.EXE解决方法 好东西,虽然看不懂..但还是学习中.....呵呵, |
2007/2/11 07:36 |
| 2 | 网络vs浪子 | 回复:敲诈者病毒变种 SVCH0ST.EXE解决方法 (附专杀工具2楼) 附上专杀工具! 诈骗者专杀工具1.2 修复正了系统分区不是C盘检测不到病毒! 请解压缩文件到同一目录下!再运行专杀 |
2007/2/11 09:15 |
| 3 | 小青 | 好东西 |
2007/12/9 16:11 |
| 4 | zhigang1 | 谢谢了.要杀杀看 | 2007/12/27 19:27 |
| 5 | lijun1020 | 我也中病毒了 | 2008/4/7 11:58 |
| 6 | eagleliu2 | let me try | 2008/5/2 21:57 |
| 7 | xword | 我中病毒了 谢谢提供 |
2008/5/27 21:52 |
| 8 | nUllmapl | 谢谢楼主了· 很是需要呢 |
2008/7/3 13:07 |
共有评论数 8 每页显示 10
|
|||
