Win32.Troj.Dropper.fb.569
简介
1、处理时间:2007-01-11
2、威胁级别:★
3、病毒类型:木马
4、影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为
该病毒是一个敲诈者木马。它会删除非系统盘和系统盘指定文件夹里的所有文件,然后弹出警告框要求中毒用户联系作者,并谎称病毒将硬盘数据锁定,要购买相关解锁软件。其实病毒是把文件直接删除了,并未做数据备份和锁定。给病毒删除的文件,可以使用金山数据安全工具或其他数据恢复工具修复。但在未修复数据期间不得向要修复磁盘写如任何文件,以确保磁盘中数据不被进一步破坏,从而达到完美修复效果。制造并使用该类病毒敲诈电脑用户属于违法行为,建议中毒用户向公安机关报案并协助警方破案。若电脑中数据比较重要则请专业人员做修复工作。
中毒情况简述
1、生成的文件
并将病毒文件设置属性为隐藏
%DOCUME~1%\\ADMINI~1\\LOCALS~1\\Temp\\E_4\\krnln.fnr
%DOCUME~1%\\ADMINI~1\\LOCALS~1\\Temp\\E_4\\shell.fne
%Documents and Settings%\\administrator\\「开始」菜单\\程序\\启动\\svchost.com
%Documents and Settings%\\administrator\\Application Data\\Microsoft\\win1ogon.exe
%Documents and Settings%\\administrator\\桌面\\警告.h
2、添加启动项
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
"svchost.exe" = "%Documents and Settings%\\administrator\\Application Data\\Microsoft\\win1ogon.exe"
3、修改txt文件关联
HKCR\\txtfile\\shell\\open\\command
"(Default)" = "%Documents and Settings%\\administrator\\Application Data\\Microsoft\\win1ogon.exe"
4、设置系统总是隐藏文件及隐藏扩展名
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced
"Hidden" = "0x2"
HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden
"SHOWALL" = "0xE21BD500"
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced
"HideFileExt" = "0x1"
5、弹出警告对话框
标题:系统将重新启动!
警告:
发现您硬盘内有盗版了的本公司软件,所以我们已将您硬盘内部份数据移位到了锁定的扇区,如要解开被锁的扇区将文件释放出来,请电邮至webmasters7@yahoo.com.cn购买相关的解锁软件
6、文件"警告.h"
内容和弹出对话框内容一致。病毒运行期间,用户打开文本或其他文档都会弹出警告对话框。
手工清除病毒
(1)使用任务管理器结束win1ogon.exe和原病毒进程
(2)删除病毒生成的文件,因为文件给隐藏需借助其他工具删除
(3)删除病毒做的启动项及文件关联及可