词条 | Win32.Troj.Dropper.fb.569 |
释义 | 简介1、处理时间:2007-01-11 2、威胁级别:★ 3、病毒类型:木马 4、影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为该病毒是一个敲诈者木马。它会删除非系统盘和系统盘指定文件夹里的所有文件,然后弹出警告框要求中毒用户联系作者,并谎称病毒将硬盘数据锁定,要购买相关解锁软件。其实病毒是把文件直接删除了,并未做数据备份和锁定。给病毒删除的文件,可以使用金山数据安全工具或其他数据恢复工具修复。但在未修复数据期间不得向要修复磁盘写如任何文件,以确保磁盘中数据不被进一步破坏,从而达到完美修复效果。制造并使用该类病毒敲诈电脑用户属于违法行为,建议中毒用户向公安机关报案并协助警方破案。若电脑中数据比较重要则请专业人员做修复工作。 中毒情况简述1、生成的文件并将病毒文件设置属性为隐藏 %DOCUME~1%\\ADMINI~1\\LOCALS~1\\Temp\\E_4\\krnln.fnr %DOCUME~1%\\ADMINI~1\\LOCALS~1\\Temp\\E_4\\shell.fne %Documents and Settings%\\administrator\\「开始」菜单\\程序\\启动\\svchost.com %Documents and Settings%\\administrator\\Application Data\\Microsoft\\win1ogon.exe %Documents and Settings%\\administrator\\桌面\\警告.h 2、添加启动项HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run "svchost.exe" = "%Documents and Settings%\\administrator\\Application Data\\Microsoft\\win1ogon.exe" 3、修改txt文件关联HKCR\\txtfile\\shell\\open\\command "(Default)" = "%Documents and Settings%\\administrator\\Application Data\\Microsoft\\win1ogon.exe" 4、设置系统总是隐藏文件及隐藏扩展名HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced "Hidden" = "0x2" HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden "SHOWALL" = "0xE21BD500" HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced "HideFileExt" = "0x1" 5、弹出警告对话框标题:系统将重新启动! 警告: 发现您硬盘内有盗版了的本公司软件,所以我们已将您硬盘内部份数据移位到了锁定的扇区,如要解开被锁的扇区将文件释放出来,请电邮至webmasters7@yahoo.com.cn购买相关的解锁软件 6、文件"警告.h"内容和弹出对话框内容一致。病毒运行期间,用户打开文本或其他文档都会弹出警告对话框。 手工清除病毒(1)使用任务管理器结束win1ogon.exe和原病毒进程 (2)删除病毒生成的文件,因为文件给隐藏需借助其他工具删除 (3)删除病毒做的启动项及文件关联及可 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。