瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 有人借助新病毒“移动加密”进行网络敲诈,怎么办。
gaof1234 - 2006-1-22 21:55:00
今天不知怎么回事,电脑上所有文件被一个叫做《移动加密》的软件加密。此软件通过网络自动安装在我的电脑上,加密了除C盘以外的其它盘上的所有文件,需要输入密码才能打开,但是我不知道密码呀,怎么办呢?他提示说:非法解密将摧毁所有数据!!怎么办呢?急呀,里面是我所有的文件,含非常非常重要的工作文件!!根据他留下来的联系方式,一个客服QQ,他说需要他们技术人员来解密,敲诈我300元钱!我痛恨这种网络敲诈行为,但是又无计可施,故在此请求哪位高人指点密津,卸载这个可恶的软件,还我文件,多谢啦!!
来自何处 - 2006-1-22 22:10:00
MD.这种情况上个月有个小朋友就发生过也是要300元.可恶.怕是只有重新分区格式化重装系了.不是有个客服QQ吗,公安部门起诉他.
阿拉伯伯 - 2006-1-22 22:11:00
可恶!
gaof1234 - 2006-1-23 10:25:00
到底这种移动加密是什么病毒呀,有哪位高人有办法?
BlackStone - 2006-1-23 10:35:00
用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项
保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
玻璃钢耗子 - 2006-1-23 15:08:00
这和偷别人机动车牌然后留下联系电话没有什么区别。如果你给他汇钱,那么还有第二次和第三次!还是格式化系统重做吧!可不能纵容如此错误!
genuinechen - 2006-1-23 15:51:00
可以找网警报案了,有个哥们放鸽子敲诈别人,抓到以后,被拉到看守所教育了很长时间,呵呵
gaof1234 - 2006-1-24 14:42:00
已经报警了,但是警察不管,怎么办呀?这个社会真是没有天理王法了!:((((
555555555555555……
gaof1234 - 2006-1-24 14:54:00
保存了日志,如下:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ vptraySymantec AntiVirusSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\vptray.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Display Panning CPL ExtensionFile not found: deskpan.dll

+ HyperTerminal Icon ExtHyperTerminal Applet LibraryHilgraeve, Inc.c:\windows\system32\hticons.dll

+ LDVP Shell ExtensionsSymantec AntiVirusSymantec Corporationc:\program files\common files\symantec shared\ssc\vpshell2.dll

+ PicaViewPicaView 系统扩展 DLLACD Systems, Ltd.c:\program files\acdsee\picaview.dll

+ PowerWord ExplorerBarPowerWord Web Dictionary Engine金山软件股份有限公司d:\program files\kingsoft\powerword 2003\xdictexb.dll

+ WinRAR shell extensionc:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ IeCatch2 Classjccatch ModuleAmaze Softc:\program files\flashget\jccatch.dll

+ QQBrowserHelperObject ClassQQIEHelper Module深圳市腾讯计算机系统有限公司d:\program files\tencent\qq\qqiehelper.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ FlashGet BarFlashGet IE BarAmaze Softc:\program files\flashget\fgiebar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ &FlashGetFlashGetAmaze Softc:\program files\flashget\flashget.exe

+ JUJU猫File not found: http://www.jujumao.net

+ 豪杰超级解霸V8Hero Super Player V8herosoftc:\herosoft\herov8\sthsdvd.exe

+ 腾讯QQQQTENCENTd:\program files\tencent\qq\qq.exe

HKLM\System\CurrentControlSet\Services

+ DefWatchVirus Definition DaemonSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\defwatch.exe

+ GrayPigeonServerc:\windows\nonfig.exe

+ Norton AntiVirus Server为 Symantec Client Security 提供实时病毒扫描、报告和管理功能。Symantec Corporationc:\program files\symantec_client_security\symantec antivirus\rtvscan.exe

HKLM\System\CurrentControlSet\Services

+ ALCXWDMRealtek AC'97 Audio Driver (WDM)Realtek Semiconductor Corp.c:\windows\system32\drivers\alcxwdm.sys

+ AliIdeFile not found: System32\DRIVERS\aliide.sys

+ CA561Universal Serial Bus Camera DriverSPc:\windows\system32\drivers\spca561.sys

+ CKG005File not found: C:\WINDOWS\TEMP\hk06.sys6kit8ul.sys

+ CmdIdeCMD PCI IDE Bus DriverCMD Technology, Inc.c:\windows\system32\drivers\cmdide.sys

+ ialmIntel Graphics Miniport DriverIntel Corporationc:\windows\system32\drivers\ialmnt5.sys

+ MegaIDELSI MegaRAID IDE DriverLSI Logic Corporation.c:\windows\system32\drivers\megaide.sys

+ NAVAPAutoProtectSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\navap.sys

+ NAVAPELNAVAPELSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\navapel.sys

+ NAVENGAV EngineSymantec Corporationc:\program files\common files\symantec shared\virusdefs\20060118.007\naveng.sys

+ NAVEX15AV EngineSymantec Corporationc:\program files\common files\symantec shared\virusdefs\20060118.007\navex15.sys

+ nvNVIDIA Compatible Windows 2000 Miniport Driver, Version 56.73 NVIDIA Corporationc:\windows\system32\drivers\nv4_mini.sys

+ PtilinkDirect Parallel Link DriverParallel Technologies, Inc.c:\windows\system32\drivers\ptilink.sys

+ rtl8139Realtek RTL8139 NDIS 5.0 DriverRealtek Semiconductor Corporationc:\windows\system32\drivers\rtl8139.sys

+ SecdrvSafeDisc driverc:\windows\system32\drivers\secdrv.sys

+ SymEventSymantec Event LibrarySymantec Corporationc:\program files\symantec\symevent.sys

+ XBBO99File not found: C:\WINDOWS\TEMP\fmizlqdh.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ igfxcuiigfxsrvc ModuleIntel Corporationc:\windows\system32\igfxsrvc.dll

+ NavLogonc:\windows\system32\navlogon.dll

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

+ MSAFD Tcpip [RAW/IP]c:\windows\system32\tcpipdog0.dll

+ MSAFD Tcpip [TCP/IP]c:\windows\system32\tcpipdog0.dll

+ MSAFD Tcpip [UDP/IP]c:\windows\system32\tcpipdog0.dll

+ RSVP TCP Service Providerc:\windows\system32\tcpipdogr0.dll

+ RSVP UDP Service Providerc:\windows\system32\tcpipdogr0.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ HPLJ1020LMSpooler Language Monitor for HP LaserJet Series 1020/2600Zenographics, Inc.c:\windows\system32\zlhp1020.dll

gaof1234 - 2006-1-24 14:55:00
请问高人分析一下,到底怎么解决这个问题,急死了,用不了以前的文件!5555555555


多谢了!
genuinechen - 2006-1-24 15:08:00
这个看不清楚,用hijackthis贴出来试试

果然通过放鸽子+ GrayPigeonServerc:\windows\nonfig.exe

看见这个就没有什么好事情,这个放鸽子的太流氓了,看看这个对你有没有什么帮助

灰鸽子木马来源追踪
http://www.juntuan.net/pjjs/pjsl/n/2006-01-12/12687.html
BlackStone - 2006-1-24 15:15:00
HKLM\System\CurrentControlSet\Services
+ GrayPigeonServerc:\windows\nonfig.exe

删除启动项
重启
删除c:\windows\nonfig.exe试试
gaof1234 - 2006-1-24 15:27:00
上面的方法不行,现在重新扫描一个日志上来,请分析解决一下:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ vptraySymantec AntiVirusSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\vptray.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Display Panning CPL ExtensionFile not found: deskpan.dll

+ HyperTerminal Icon ExtHyperTerminal Applet LibraryHilgraeve, Inc.c:\windows\system32\hticons.dll

+ LDVP Shell ExtensionsSymantec AntiVirusSymantec Corporationc:\program files\common files\symantec shared\ssc\vpshell2.dll

+ PicaViewPicaView 系统扩展 DLLACD Systems, Ltd.c:\program files\acdsee\picaview.dll

+ PowerWord ExplorerBarPowerWord Web Dictionary Engine金山软件股份有限公司d:\program files\kingsoft\powerword 2003\xdictexb.dll

+ WinRAR shell extensionc:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ IeCatch2 Classjccatch ModuleAmaze Softc:\program files\flashget\jccatch.dll

+ QQBrowserHelperObject ClassQQIEHelper Module深圳市腾讯计算机系统有限公司d:\program files\tencent\qq\qqiehelper.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ FlashGet BarFlashGet IE BarAmaze Softc:\program files\flashget\fgiebar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ &FlashGetFlashGetAmaze Softc:\program files\flashget\flashget.exe

+ JUJU猫File not found: http://www.jujumao.net

+ 豪杰超级解霸V8Hero Super Player V8herosoftc:\herosoft\herov8\sthsdvd.exe

+ 腾讯QQQQTENCENTd:\program files\tencent\qq\qq.exe

HKLM\System\CurrentControlSet\Services

+ DefWatchVirus Definition DaemonSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\defwatch.exe

+ Norton AntiVirus Server为 Symantec Client Security 提供实时病毒扫描、报告和管理功能。Symantec Corporationc:\program files\symantec_client_security\symantec antivirus\rtvscan.exe

HKLM\System\CurrentControlSet\Services

+ ALCXWDMRealtek AC'97 Audio Driver (WDM)Realtek Semiconductor Corp.c:\windows\system32\drivers\alcxwdm.sys

+ AliIdeFile not found: System32\DRIVERS\aliide.sys

+ CA561Universal Serial Bus Camera DriverSPc:\windows\system32\drivers\spca561.sys

+ CKG005File not found: C:\WINDOWS\TEMP\hk06.sys6kit8ul.sys

+ CmdIdeCMD PCI IDE Bus DriverCMD Technology, Inc.c:\windows\system32\drivers\cmdide.sys

+ ialmIntel Graphics Miniport DriverIntel Corporationc:\windows\system32\drivers\ialmnt5.sys

+ MegaIDELSI MegaRAID IDE DriverLSI Logic Corporation.c:\windows\system32\drivers\megaide.sys

+ NAVAPAutoProtectSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\navap.sys

+ NAVAPELNAVAPELSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\navapel.sys

+ NAVENGAV EngineSymantec Corporationc:\program files\common files\symantec shared\virusdefs\20060118.007\naveng.sys

+ NAVEX15AV EngineSymantec Corporationc:\program files\common files\symantec shared\virusdefs\20060118.007\navex15.sys

+ nvNVIDIA Compatible Windows 2000 Miniport Driver, Version 56.73 NVIDIA Corporationc:\windows\system32\drivers\nv4_mini.sys

+ PtilinkDirect Parallel Link DriverParallel Technologies, Inc.c:\windows\system32\drivers\ptilink.sys

+ rtl8139Realtek RTL8139 NDIS 5.0 DriverRealtek Semiconductor Corporationc:\windows\system32\drivers\rtl8139.sys

+ SecdrvSafeDisc driverc:\windows\system32\drivers\secdrv.sys

+ SymEventSymantec Event LibrarySymantec Corporationc:\program files\symantec\symevent.sys

+ XBBO99File not found: C:\WINDOWS\TEMP\fmizlqdh.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ igfxcuiigfxsrvc ModuleIntel Corporationc:\windows\system32\igfxsrvc.dll

+ NavLogonc:\windows\system32\navlogon.dll

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

+ MSAFD Tcpip [RAW/IP]c:\windows\system32\tcpipdog0.dll

+ MSAFD Tcpip [TCP/IP]c:\windows\system32\tcpipdog0.dll

+ MSAFD Tcpip [UDP/IP]c:\windows\system32\tcpipdog0.dll

+ RSVP TCP Service Providerc:\windows\system32\tcpipdogr0.dll

+ RSVP UDP Service Providerc:\windows\system32\tcpipdogr0.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ HPLJ1020LMSpooler Language Monitor for HP LaserJet Series 1020/2600Zenographics, Inc.c:\windows\system32\zlhp1020.dll


gaof1234 - 2006-1-24 15:32:00
发布一个刷新后扫描的日志上来供高人分析:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ vptraySymantec AntiVirusSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\vptray.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Display Panning CPL ExtensionFile not found: deskpan.dll

+ HyperTerminal Icon ExtHyperTerminal Applet LibraryHilgraeve, Inc.c:\windows\system32\hticons.dll

+ LDVP Shell ExtensionsSymantec AntiVirusSymantec Corporationc:\program files\common files\symantec shared\ssc\vpshell2.dll

+ PicaViewPicaView 系统扩展 DLLACD Systems, Ltd.c:\program files\acdsee\picaview.dll

+ PowerWord ExplorerBarPowerWord Web Dictionary Engine金山软件股份有限公司d:\program files\kingsoft\powerword 2003\xdictexb.dll

+ WinRAR shell extensionc:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ IeCatch2 Classjccatch ModuleAmaze Softc:\program files\flashget\jccatch.dll

+ QQBrowserHelperObject ClassQQIEHelper Module深圳市腾讯计算机系统有限公司d:\program files\tencent\qq\qqiehelper.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ FlashGet BarFlashGet IE BarAmaze Softc:\program files\flashget\fgiebar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ &FlashGetFlashGetAmaze Softc:\program files\flashget\flashget.exe

+ JUJU猫File not found: http://www.jujumao.net

+ 豪杰超级解霸V8Hero Super Player V8herosoftc:\herosoft\herov8\sthsdvd.exe

+ 腾讯QQQQTENCENTd:\program files\tencent\qq\qq.exe

HKLM\System\CurrentControlSet\Services

+ DefWatchVirus Definition DaemonSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\defwatch.exe

+ Norton AntiVirus Server为 Symantec Client Security 提供实时病毒扫描、报告和管理功能。Symantec Corporationc:\program files\symantec_client_security\symantec antivirus\rtvscan.exe

HKLM\System\CurrentControlSet\Services

+ ALCXWDMRealtek AC'97 Audio Driver (WDM)Realtek Semiconductor Corp.c:\windows\system32\drivers\alcxwdm.sys

+ AliIdeFile not found: System32\DRIVERS\aliide.sys

+ CA561Universal Serial Bus Camera DriverSPc:\windows\system32\drivers\spca561.sys

+ CKG005File not found: C:\WINDOWS\TEMP\hk06.sys6kit8ul.sys

+ CmdIdeCMD PCI IDE Bus DriverCMD Technology, Inc.c:\windows\system32\drivers\cmdide.sys

+ ialmIntel Graphics Miniport DriverIntel Corporationc:\windows\system32\drivers\ialmnt5.sys

+ MegaIDELSI MegaRAID IDE DriverLSI Logic Corporation.c:\windows\system32\drivers\megaide.sys

+ NAVAPAutoProtectSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\navap.sys

+ NAVAPELNAVAPELSymantec Corporationc:\program files\symantec_client_security\symantec antivirus\navapel.sys

+ NAVENGAV EngineSymantec Corporationc:\program files\common files\symantec shared\virusdefs\20060118.007\naveng.sys

+ NAVEX15AV EngineSymantec Corporationc:\program files\common files\symantec shared\virusdefs\20060118.007\navex15.sys

+ nvNVIDIA Compatible Windows 2000 Miniport Driver, Version 56.73 NVIDIA Corporationc:\windows\system32\drivers\nv4_mini.sys

+ PtilinkDirect Parallel Link DriverParallel Technologies, Inc.c:\windows\system32\drivers\ptilink.sys

+ rtl8139Realtek RTL8139 NDIS 5.0 DriverRealtek Semiconductor Corporationc:\windows\system32\drivers\rtl8139.sys

+ SecdrvSafeDisc driverc:\windows\system32\drivers\secdrv.sys

+ SymEventSymantec Event LibrarySymantec Corporationc:\program files\symantec\symevent.sys

+ XBBO99File not found: C:\WINDOWS\TEMP\fmizlqdh.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ igfxcuiigfxsrvc ModuleIntel Corporationc:\windows\system32\igfxsrvc.dll

+ NavLogonc:\windows\system32\navlogon.dll

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9

+ MSAFD Tcpip [RAW/IP]c:\windows\system32\tcpipdog0.dll

+ MSAFD Tcpip [TCP/IP]c:\windows\system32\tcpipdog0.dll

+ MSAFD Tcpip [UDP/IP]c:\windows\system32\tcpipdog0.dll

+ RSVP TCP Service Providerc:\windows\system32\tcpipdogr0.dll

+ RSVP UDP Service Providerc:\windows\system32\tcpipdogr0.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

+ HPLJ1020LMSpooler Language Monitor for HP LaserJet Series 1020/2600Zenographics, Inc.c:\windows\system32\zlhp1020.dll

gaof1234 - 2006-1-24 15:44:00
回复:第10楼,genuinechen 

仔细拜读了您发的网址,那上面好像没有什么解决方法呀?问题依旧,打不开文件夹!:((
不言放弃 - 2006-1-24 15:48:00
加密软件中好多都是流氓软件
安装后过了软件试用期后
会提示用户购买
否则不能卸载
而且更为可怕的是通过这个加密软件加密后的文件或文件夹全部无法打开

个人认为 
格式化重新系统是唯一出路
gaof1234 - 2006-1-24 15:49:00
斑竹在吗?我在线等着呢?请尽快帮我解决一下吧,大过年的也让我好好过过年吧,拜托拜托了!
gaof1234 - 2006-1-24 15:52:00
我的电脑里面有很多重要的文件,不能格掉呀,又拷不出文件来,怎么办呀?急!!急!!急!!急!!急!!急!!急!!急!!急!!急!!急!!急!!急!!
三板斧 - 2006-1-24 15:55:00
这和偷别人机动车牌然后留下联系电话没有什么区别?
爵士酷毕 - 2006-1-24 16:09:00
对你表示深切的同情。
不言放弃 - 2006-1-24 16:09:00
开始--运行
输入regedit
确定,进入注册表
删除
HKLM\System\CurrentControlSet\Services
+ GrayPigeonServerc:\windows\nonfig.exe

HKLM\System\CurrentControlSet\Services
+ CKG005File not found: C:\WINDOWS\TEMP\hk06.sys6kit8ul.sys
+ XBBO99File not found: C:\WINDOWS\TEMP\fmizlqdh.sys

在硬盘中搜索nonfig.exe
nonfig.dll
nonfigkey.dll
nonfig_hook.dll
找到后全部删除

另外再删除C:\WINDOWS\TEMP下的所有文件
genuinechen - 2006-1-24 16:23:00
首先对楼主深表同情

这个放鸽子的的确很无耻,从他可以给你提示看,他已经远程控制了你的机器,并在你的机器里安装了一个加密软件.虽然他说如果你试图解密,将会被摧毁数据,其实他只是在远程破坏而已,加密软件本身一般都不具备这个功能.为了防止那个无耻的人继续破坏你的机器,建议你先把鸽子清除掉,然后解码.杀毒软件是不会把加密软件默认为病毒的

首先看看放鸽子的到底是安装的什么加密软件,在网上找针对这些加密软件的破解软件,现在加密的大多用的是MD5加密,如果能找到相应的密文,用MD5破解应该有机会,如果不行就尝试字典暴力破解,不过相当麻烦.

如果都不行,看看用深山红叶操作系统启动,看看能不能进去,如果不行,尝试用相应的硬盘修复工具修复.再不行就把D盘格式化以后再恢复,前几天帮别人恢复一个硬盘(被重新分区格式化),基本恢复出90%的数据,相应的软件在红叶里有,同时我还用到了easyrecovery

最后祝楼主好运
BlackStone - 2006-1-24 16:27:00
用IceSword工具看看有啥可以的进程没
http://forum.ikaka.com/topic.asp?board=28&artid=7538008
gaof1234 - 2006-1-24 16:30:00
回复:第20楼,不言放弃

谢谢您的帮助,但是试过了,还是不行,解不了密,打不开文件夹。

555555……
不言放弃 - 2006-1-24 16:35:00
对这种流氓软件
本人也没有什么好的方法

网络中早就出现了好多加密软件是流氓软件的说法
很多用户深受其害
gaof1234 - 2006-1-24 16:46:00
【回复“genuinechen”的帖子】
谢谢您的提示,但是我还是不知道具体应该怎么做?
liaky - 2006-1-24 16:59:00
这样的情况我还是第一次见,楼主真惨呀!楼主试试用一只干净的dos启动软盘引导系统看看能不能打开那些文件,如果能的话就把这些文件复制到别的地方.
genuinechen - 2006-1-24 17:03:00
楼主要是在武汉就好了,说不定可以帮你解决,解码和恢复数据说是说不清楚的,两个弄起来都很耗时间

不如你还是先去下个深山红叶的完整版试试
gaof1234 - 2006-1-24 17:09:00
【回复“genuinechen”的帖子】

谢谢,在哪里可以看到那个完整版呢?还有,我这个软件听说就是武汉那边的:(
gaof1234 - 2006-1-24 17:25:00
还是没有解决掉,怎么办呀?
12
查看完整版本: 有人借助新病毒“移动加密”进行网络敲诈,怎么办。
© 2000 - 2026 Rising Corp. Ltd.