瑞星卡卡安全论坛

我的电脑里可能中了灰鸽子变种病毒,具体过程如下:
周三我在家里上网,突然瑞星的监控状态为红色闭合状态,防火墙更是被强行的退出了.之后在屏幕上出现了一个安装的界面,期间瑞星弹出了一个网页,说我的电脑里可能中了灰鸽子的变种病毒,之后系统用户更从我自己的变成了"SYSTEM".这时我强行的关闭了电源,重起后发现,我电脑里D盘的部分文件不见了?F盘里更是所有的文件都不见了.取而代之的是一个名为
"控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}"的图标跟一个名为"解密必看"的文本文档.

文档的具体内容如下:
"本程序12小时内必须解除绑定，如未能解除密码锁定，
硬盘资料将自动全部格式化，所有资料粉碎无保留数据无法恢复。
解除密码请联系客服QQ:895844639
如无法登陆QQ ，请重新下载QQ安装至C盘。"

在慌乱下我将自己的电脑从新的做了系统,可是开机后依然不能显示我的文件.所以我通过QQ联系了黑客,他说只有他才能解除我电脑里的绑定,并找我要解除费.当时觉得如果给他钱的话就是助长了那种歪风邪气,所以并没有答应.

两天后,我发现我的文件并不是被删除了,而是被屏蔽了.因为在我查毒的时候,我的文件依然存在于那个"控制面板.{21ec2020-3aea-1069-a2dd-08002b30309d}"里,只是我不能点开它而已.我觉得应该有办法解决.所以在这里请教各位,希望你们能够帮助我解决这个问题.小弟在这里先谢谢大家了!!!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

先报警
然后
下载 System Repair Engineer系统扫描工具软件，下载地址如下：
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法：
1、解压缩所下载的sreng2.zip压缩包；
2、打开已经解压缩的SRENG文件夹，双击运行其中的SREngPS.exe；
3、依次按“智能扫描”、“扫描”、“保存报告”，将日志保存到硬盘上；
4、找到并打开日志，把日志中的内容用“复制”--“粘贴”命令拷贝到帖子上，不要修改地传上来（日志很长，一个帖子搞不完，请手动将全部内容在同一个主题帖下分多个回复帖子传上来）。
友情提示：
1、扫描日志前请先关闭所有打开的软件（如QQ、迅雷等下载程序什么的程序）和IE窗口（请注意，是关闭而不是最小化窗口）
2、注意在没有进一步提示前，请勿用SRENG工具胡乱修复，否则系统可能变的情况更糟。
3、SRENG操作图文详解：http://forum.ikaka.com/topic.asp?board=201&artid=8343881

顺手找来的，不要找我要版权费

先谢谢这位朋友　我没看懂什么意思　是要帮我分析下我的电脑系统吗　还是什么的　怎么还要先报警呢？

我看了教程　报告可以用附件传吧　先试试

附件: 9515682007929174026.txt

如果你的电脑被他全部格式化了,里面有重要的东西,你还不报警?

小弟拜托各位了

引用:

【yqlikaka的贴子】如果你的电脑被他全部格式化了,里面有重要的东西,你还不报警? ………………

当天就报警了 可是警察似乎觉得不是什么要紧的事 真让我恼火

BS这种人啊.有点技术不做好事情,专干坏事情.给杂中国人丢脸啊.

日志没看出什么，下面附件下载后，把扩展名改为ＲＥＧ。双击导入看看行不行。


ＰＳ：你电脑还是被入侵过。
　　　顺便鄙视一下那个家伙和那个警察。

附件: 712960200793092325.txt

不行的话再试试这个

http://pijing2003.ys168.com/
里的文件加密的东西。

引用:

【303266474的贴子】不行的话再试试这个 http://pijing2003.ys168.com/ 里的文件加密的东西。 ………………

怎么用？不会啊　还有　兄弟说我还是被攻击过　是什么意思啊？

拔叫网线，
在启动里面关闭病毒程序。
重启电脑，在安全模式里面杀毒

引用:

【dadaruby的贴子】拔叫网线， 在启动里面关闭病毒程序。 重启电脑，在安全模式里面杀毒 ………………

哪个是病毒程序啊？我用专杀工具都找了　没有显示有病毒啊

引用:

【dadaruby的贴子】拔叫网线， 在启动里面关闭病毒程序。 重启电脑，在安全模式里面杀毒 ………………

哪个是病毒程序啊？我用专杀工具都找了　没有显示有病毒啊

在注册表中搜索“21ec2020-3aea-1069-a2dd-08002b30309d”这个项目与下面我的注册表的该项目想必有没有差别的地方！

项名称:            HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}
类别名:        <无类别>
最近写入时间:    2005-5-3 - 9:43
值  0
  名称:            <NO NAME>
  类型:            REG_SZ
  数据:           

值  1
  名称:            InfoTip
  类型:            REG_EXPAND_SZ
  数据:            @%SystemRoot%\system32\SHELL32.dll,-31361


项名称:            HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\DefaultIcon
类别名:        <无类别>
最近写入时间:    2005-5-3 - 9:26
值  0
  名称:            <NO NAME>
  类型:            REG_EXPAND_SZ
  数据:            %SystemRoot%\System32\shell32.dll,-137


项名称:            HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\InProcServer32
类别名:        <无类别>
最近写入时间:    2005-5-3 - 9:26
值  0
  名称:            <NO NAME>
  类型:            REG_SZ
  数据:            shell32.dll

值  1
  名称:            ThreadingModel
  类型:            REG_SZ
  数据:            Apartment


项名称:            HKEY_CLASSES_ROOT\CLSID\{21EC2020-3AEA-1069-A2DD-08002B30309D}\ShellFolder
类别名:        <无类别>
最近写入时间:    2005-5-3 - 9:43
值  0
  名称:            Attributes
  类型:            REG_DWORD
  数据:            0x0

值  1
  名称:            HideAsDeletePerUser
  类型:            REG_SZ
  数据:           

值  2
  名称:            WantsFORDISPLAY
  类型:            REG_SZ
  数据:           


附件中为上述分支导出为ABC.REG改名后上传的

附件: 6009622007930102603.txt

在注册表中还有几处与“21EC2020-3AEA-1069-A2DD-08002B30309D”这个项有关的地方，楼主只要找台正常的机器查询对比一下就可以了。

查找硬盘根目录下的“控制面板.{ 21EC2020-……. }”，

修改目录名称为英文的，例如为“lost”(修改为英文是为了在DOS下可以查看得到)

进入调试模式，进入dos命令状态；

修改 lost 目录下的文件属性，去除只读、系统、隐藏等属性，用命令“attrib –r –s –h *.*/s”，随后即可发现所有被隐藏的文件。

一般敲诈者病毒都是修改注册表项将文件夹和文件进行隐藏，这个思路与大多数隐藏文件夹软件的原理相同。

查找硬盘根目录下的“控制面板.{ 21EC2020-……. }”，
修改目录名称为英文名称，例如为“lost”（修改为英文名称是为了在DOS下可以正常显示）
进入调试模式，进入dos命令状态；
修改temp目录下的文件属性，去除只读、系统、隐藏等属性，用命令“attrib –r –s –h *.*/s”，随后即可发现所有被隐藏的文件。

引用:

【碧海潮音的贴子】一般敲诈者病毒都是修改注册表项将文件夹和文件进行隐藏，这个思路与大多数隐藏文件夹软件的原理相同。 查找硬盘根目录下的“控制面板.{ 21EC2020-……. }”， 修改目录名称为英文名称，例如为“lost”（修改为英文名称是为了在DOS下可以正常显示） 进入调试模式，进入dos命令状态； 修改temp目录下的文件属性，去除只读、系统、隐藏等属性，用命令“attrib –r –s –h *.*/s”，随后即可发现所有被隐藏的文件。 ………………

请问朋友 句体的操作应该如何呢?小弟是个菜鸟 不太会类似的操作呢

你的文件夹被修改成了名称“控制面板.{ 21EC2020-……. }”，你把它改成掉，重命名为英文的名称。比如改成文件夹名为“lost” .

重新启动计算机

上电自检（就是开机时闪现出一串串英文）后，按 F8 键 进入命令行式的安全模式

然后，输入 CD \
回车
如果你的被隐藏文件在D盘那么输入并执行下面的命令
d:
回车
然后，输入并执行
cd lost
回车
(这里解释一下，CD是改变切换路径或目录的DOS命令，LOST是刚刚改变的文件夹名称)
attrib –r –s –h *.*/s
回车

然后，重新启动正常登陆桌面

引用:

【碧海潮音的贴子】你的文件夹被修改成了名称“控制面板.{ 21EC2020-……. }”，你把它改成掉，重命名为英文的名称。比如改成文件夹名为“lost” . 重新启动计算机 上电自检（就是开机时闪现出一串串英文）后，按 F8 键 进入命令行式的安全模式 然后，输入 CD \ 回车 如果你的被隐藏文件在D盘那么输入并执行下面的命令 d: 回车 然后，输入并执行 cd lost 回车 (这里解释一下，CD是改变切换路径或目录的DOS命令，LOST是刚刚改变的文件夹名称) attrib –r –s –h *.*/s 回车 然后，重新启动正常登陆桌面 ………………

按照兄弟的指示，我进行了以上的操作．但是系统提示
＂找不到路径-F:\lost\*.*＂．
之后我利用了DIR命令进行操作,发现我原有的19个文件夹全部存在,但是都被黑客进行了1~19的编号,而且都后缀了一串相同的代码{2227a280-3aea-1069-a2de-08002b30309d}.
例如10{2227a280-3aea-1069-a2de-08002b30309d}.
在这个文件夹中我再次应用DIR命令,终于找到了我的文件 可是仍旧没有办法进行解密

以上就是最新的发现了 希望各位朋友能有新的办法来帮助小弟 跪谢了

看了你的情况,我也没有什么好办法.你看你试着在DOS把文件夹的名称改变一下,然后去掉文件夹属性,如果目录层次不深,那还轻松一点,如果文件夹层次很深就有点难了.
敲诈者病毒有专杀工具,但都不太好用.还有你格式化并重装系统了,那专杀估计也没什么效果了.

说一下DOS下的更名办法

如果在DOS下有个文件夹名为A 要改为B
那么如下操作
ren a b
回车
然后去掉它的属性
attrib -h -s -r
但是你说可以在DIR命令下看到这些文件夹,估计它并没有被隐藏.
如果是想在DOS下显示包含被隐藏的文件执行下面命令
DIR /A
通过dir 和 dir /a 来看区别,如果有隐藏的,那么dir /a 后显示后比dir 要多
你慢慢研究一下试试看
因为attrib -h -s -r *.* 命令是显示文件夹下面的文件的.如果去掉文件夹的隐藏那么应该用
attrib -h -s -r AAA(AAA是指文件夹名)

解决了么

谢谢兄弟们，我自己再研究研究有了什么新发现在告诉大家

此附件可以解密！

附件: 952487200710193133.rar

谢谢姐姐～！～！～！
我的资料全部恢复了
再次谢谢　请问姐姐你是怎么知道这个办法的啊　我太崇拜你了