病毒行为：
该病毒是一个敲诈者木马。它会删除非系统盘和系统盘指定文件夹里的所有文件，然后弹出警告框要求中毒用户联系作者，并慌称病毒将硬盘数据锁定，要购买相关解锁软件。其实病毒是把文件直接删除了，并未做数据备份和锁定。给病毒删除的文件，可以使用金山数据安全工具或其他数据恢复工具修复。但在未修复数据期间不得向要修复磁盘写如任何文件，以确保磁盘中数据不被进一步破坏，从而达到完美修复效果。制造并使用该类病毒敲诈电脑用户属于违法行为，建议中毒用户向公安机关报案并协助警方破案。若电脑中数据比较重要则请专业人员做修复工作。

1、生成的文件，并将病毒文件设置属性为隐藏
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\E_4\krnln.fnr
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\E_4\shell.fne
%Documents and Settings%\administrator\「开始」菜单\程序\启动\svchost.com
%Documents and Settings%\administrator\Application Data\Microsoft\win1ogon.exe
%Documents and Settings%\administrator\桌面\警告.h

2、添加启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"svchost.exe" = "%Documents and Settings%\administrator\Application Data\Microsoft\win1ogon.exe"

3、修改txt文件关联
HKCR\txtfile\shell\open\command
"(Default)" = "%Documents and Settings%\administrator\Application Data\Microsoft\win1ogon.exe"

4、设置系统总是隐藏文件及隐藏扩展名
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "0x2"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
"SHOWALL" = "0xE21BD500"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt" = "0x1"

5、弹出警告对话框
标题：
系统将重新启动！
内容：
警告：
发现您硬盘内有盗版了的本公司软件，所以我们已将您硬盘内部份数据移位到了锁定的扇区，如要解开被锁的扇区将文件释放出来,请电邮至webmasters7@yahoo.com.cn购买相关的解锁软件

6、文件"警告.h"内容和弹出对话框内容一致。病毒运行期间，用户打开文本或其他文档都会弹出警告对话框。


手工清除病毒：
（1）使用任务管理器结束win1ogon.exe和原病毒进程
（2）删除病毒生成的文件，因为文件给隐藏需借助其他工具删除
（3）删除病毒做的启动项及文件关联及可