敲诈者病毒变种　SVCH0ST.EXE解决方法（附专杀工具）

来源： 作者： 时间：2007-02-14 09:40:56 点击：

这个变种好像有问题，并没删除分区内的文件！（可笑）

不知道说诈骗者好呢还是敲诈者好！

该病毒运行后弹出二个窗口，如图1、2

如果选择确定还是关闭，那么系统会注销，所有不理它
添加文件：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\警告.h（内容为：警告：
发现您曾使用盗版了的本公司软件，所以将您部份数据移到锁定了的扇区，若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件）
C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe（复制自身替换原系统任务管理器程序taskmgr.exe）
并删除除系统分区外的其它分区的所有文件（不删除文件夹）
修改C:\WINDOWS\srchasst\mui文件夹内的0804子文件夹名为 0805 （导致系统搜索不可用如图3）

每个分区下生成autorun.inf、SVCH0ST.EXE和警告.h
C:\WINDOWS\system32\wins.com
写入注册表：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
添加“wins"项目（也就是服务，服务名LocalSystem，说明WINS为客户提供系统域名解析服务）
指向C:\windows\system32\wins.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"svchost.exe"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFolderOptions"=dword:00000001" (禁用文件夹选项）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\Explorer\system
"legalnoticecaption"="警告:"
"legalnoticetext"="    发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮
liugongs19670519@yahoo.com.cn购买相应的软件"    （注销或关机弹出一窗口，内容如上）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
"NoClose"="dword:00000001" （禁用并去掉开始菜单中的关闭计算机按钮）
"NoFind"="dword:00000001" （禁用并去掉开始菜单中的搜索）
"NoRun"="dword:00000001"    （禁用并去掉运行）
"StartMenuLogOff"="dword:00000001" （禁用并去掉注销）如图4

关联.txt文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
"默认"="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
删除注册表项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

手工查杀方法：
1.不理睬那二个窗口（图1、2），下载冰刃：
200712813165750.rar
下载SRENG：
200713118333390.zip
把以上二个文件放到桌面解压缩，
打开冰刃（IceSword），找到进程“C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”和“C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com”右击结束,如果你双击过分区要结束相同图标的进程！如图。

再打开SRENG－启动项目－注册表，删除 “svchost.exe=C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”，
启动项目－启动文件夹，删除“svchost.com”
系统修复－文件关联，修复.txt
系统修复－Windows Shell / IE－全选，修复
2.开始－程序－附件－记事本，复制粘贴以下代码，保存－保存类型，为所有文件，文件名为showall.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\Explorer]
"NoClose"=-

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wins]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\system]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
3.删除病毒文件（要先显示隐藏、系统文件，因刚才还原了默认设置）：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\All Users\桌面\警告.h
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\你的用户名\Local Settings\Temp\E_4\krnln.fnr
C:\WINDOWS\system32\wins.com
每个分区下生成autorun.inf、SVCH0ST.EXE和警告.h
4.下载该附件（winxp2有效，其它系统请到相同系统版本复制）：
2007252013265.rar
解压文件到 C:\WINDOWS\system32\目录（然后取消那个windows文件保护二次，就会去掉那个窗口）！
修改C:\WINDOWS\srchasst\mui\0805 文件夹名为 0804

PS：红色部份为该病毒增加或更改的文件！
还有seashell_113网友，你的系统分区为J　　请把以上C改成J看待！
时间有限，明天再写专杀

前身：诈骗者病毒 win1ogon.exe taskmgr.exe解决方法　http://bbs.54master.com/thread-143441-1-1.html