【IT168 专稿】最近MM电脑,遭遇了“硬盘敲诈者”病毒的攻击,导致其系统除常见的被破坏外,硬盘FDT表也被修改,与此同时它还隐藏了非C盘内所有的分区数据,并且就连开始菜单里的“关闭计算机、运行、搜索”等三个功能选项,也没有逃脱被隐藏的恶运。因此为了将其病毒赶走,恢复以往系统的平静,下面我们就一起来摆平“硬盘敲诈者”。
小提示:FDT表和MBR、DBR、FAT表等都是整个硬盘最为重要的数据,其FDT表的作用是记录文件的主名、扩展名、日期、属性,以及长度等信息,如果一旦被修改,可想而知后果会怎样。
一、恢复丢失的数据
关于如何恢复数据的方法,以前IT168有过详细的文章说明,这里就不多加讲解了,大家只要按照将数据找回的方法操作一下即可。不过要注意的是,系统一定要安装在C盘,这样才能防止硬盘数据区(DATA)的某些扇区被覆盖。如果系统安装并非C盘的分区,你可以使用深山红叶Windows PE的数据恢复程序将丢失的数据恢复。
二、终止伪装的病毒进程
虽然数据已经恢复,但是病毒依然存在。为了彻底歼灭“硬盘敲诈者”病毒,首先打开“任务管理器”对话框,切入至“进程”标签,或者使用Process Explorer工具来查看进程如图1。
 |
查看运行进程
从中找到名称为Win1ogon.exe的进程,注意可不要错把它当成系统自带的Winlogon.exe进程,因为这是病毒为了迷惑大家,而将其伪装成与系统进程极其相似的病毒进程,从而想达到“蒙混过关”目的。这里将其找到后,单击“结束进程”按钮,或者你是使用Process Explorer工具的用户,可以右击其病毒进程,然后选择“终止进程”选项,就可轻松结束正在运行的病毒进程。
三、巧妙删除潜伏在系统内的病毒文件
由于潜伏在系统内的病毒文件较多,且属性是隐藏状态,并且还删除了“文件夹”选项,使大家无法执行“显示所有文件和文件夹”的功能,进行正常删除。所以这里你需打开“CMD命令”窗口,进入到D盘根目录下,输入“attrib –a –r –s –h *.*”命令回车,将其盘符内所有文件的属性都去掉。接着输入“del .”的删除命令回车,将该盘符下隐藏文件和系统文件删除如图2。
|
删除隐藏文件和系统文件
至此可以删除潜伏在D盘分区的病毒程序,然后输入sc stop wins的命令,将病毒服务停止,当然为了更加安全,最好使用sc config wins start= disabled(等号后面有个空格)命令,将其病毒服务禁用。
由于“文件夹”选项被删除,而且病毒对路径进行了限制,所以需要借助冰刃工具,将C:\Documents and settings\All Users\Application Data\Microsoft目录下的病毒文件和C:\Documents and settings\All Users\[开始]菜单\程序\启动下的Schost.com文件,以及Win1ogon.exe删除。另外如果你是Windows XP用户,除了以上需要删除外,还需删除C:\Windows\system32下的“wins.com”和“飞跃星球.scr”两个文件即可。
四、还原被修改的注册表键值病毒为了完成某项任务,除了建立或者运行病毒文件外,还会在注册表里加载相关的数据信息,来对系统做以限制。比如病毒增加的警告提示框,其涉及键值在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System下,这里将Legalnoticecaption和Legalnoticetext两个键值删除,以后“勒索”的警告框,就不会再出现了。另外被病毒禁用开始菜单里的几个命令,其涉及的注册表在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer下,这里分别将“Noclose”键值,里面的数值改为0,使其隐藏的“关闭计算机”选项显示。Norun键值里的数值1改为0,使其“运行”选项显示,Nolofoff键值里的数值1改为0,使其“注消”选项显示。对于病毒删除的“文件夹”选项,其涉及注册表的相关项被删除,你可以从局域网内的其他机器,将被删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL项导入到本机如图3,
|
导入成功的文件夹项
这样限制就全部解除了。不过还剩下的病毒服务所涉及的注册表,因此依次分别展开到HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services\WINS和HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services\WINS下,将其两者键值全部删除。最后重新启动一下计算机,使以上恢复注册表的操作生效,即可还电脑一片安静!
