复制以下文件到文本文档里,并以reg为后缀保存之。
复制以下文件到文本文档里,并以reg为后缀保存之。运行它,接着全部选是或者确定!在工具-查看里显示隐藏文件和隐藏文件前面都打钩,确定即可!!Windows Registry Editor Version 5.00"TaskbarSizeMove"=dword:00000000"Start_ShowHelp"=dword:00000000"Type"="group""Text"="@shell32.dll,-30498""Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\00"HelpID"="shell.hlp#51140""Type"="checkbox""Text"="@shell32.dll,-30506""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="ClassicViewState""CheckedValue"=dword:00000000"UncheckedValue"=dword:00000001"DefaultValue"=dword:00000000"HelpID"="shell.hlp#51076""RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\HideMyComputerIcons""Text"="@shell32.dll,-30497""Type"="checkbox""ValueName"="{21EC2020-3AEA-1069-A2DD-08002B30309D}""CheckedValue"=dword:00000000"UncheckedValue"=dword:00000001"DefaultValue"=dword:00000001"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51150""Type"="checkbox""Text"="@shell32.dll,-30507""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="SeparateProcess""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"DefaultValue"=dword:00000000"HelpID"="shell.hlp#51079"@="""Type"="checkbox""Text"="@shell32.dll,-30517""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="DisableThumbnailCache""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"DefaultValue"=dword:00000000"HelpID"="shell.hlp#51155""Type"="checkbox""Text"="@shell32.dll,-30514""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="FolderContentsInfoTip""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"DefaultValue"=dword:00000001"Type"="checkbox""Text"="@shell32.dll,-30511""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="FriendlyTree""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"HelpID"="shell.hlp#51149""DefaultValue"=dword:00000001"Text"="@shell32.dll,-30499""Type"="group""Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\00"HelpID"="shell.hlp#51131""RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30501""Type"="radio""CheckedValue"=dword:00000002"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51104""RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51105""Type"="checkbox""Text"="@shell32.dll,-30503""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="HideFileExt""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"DefaultValue"=dword:00000001"HelpID"="shell.hlp#51101""Type"="checkbox""Text"="@shell32.dll,-30509""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="NoNetCrawling""CheckedValue"=dword:00000000"UncheckedValue"=dword:00000001"DefaultValue"=dword:00000000"HelpID"="shell.hlp#51147"@="""Type"="checkbox""Text"="@shell32.dll,-30513""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="PersistBrowsers""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"HelpID"="shell.hlp#51152""DefaultValue"=dword:00000000"Type"="checkbox""Text"="@shell32.dll,-30512""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="ShowCompColor""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"DefaultValue"=dword:00000001"HelpID"="shell.hlp#51130""Type"="checkbox""Text"="@shell32.dll,-30504""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState""ValueName"="FullPath""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"DefaultValue"=dword:00000000"HelpID"="shell.hlp#51100""Type"="checkbox""Text"="@shell32.dll,-30505""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CabinetState""ValueName"="FullPathAddress""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"DefaultValue"=dword:00000001"HelpID"="shell.hlp#51107""Type"="checkbox""Text"="@shell32.dll,-30502""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="ShowInfoTip""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"DefaultValue"=dword:00000001"HelpID"="shell.hlp#51102""Type"="checkbox""Text"="@shell32.dll,-30518""HKeyRoot"=dword:80000002"RegPath"="System\\CurrentControlSet\\Control\\LSA""ValueName"="ForceGuest""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"HelpID"="shell.hlp#51154""DefaultValue"=dword:00000001"Type"="checkbox""Text"="@shell32.dll,-30508""WarningIfNotDefault"="@shell32.dll,-28964""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="ShowSuperHidden""CheckedValue"=dword:00000000"UncheckedValue"=dword:00000001"DefaultValue"=dword:00000000"HelpID"="shell.hlp#51103"@="""Text"="管理网页和文件夹对""HelpID"="TBD""Type"="group""Bitmap"="C:\\WINDOWS\\system32\\\\SHELL32.DLL,4""CheckedValue"=dword:00000000"Type"="radio""ValueName"="NoFileFolderConnection""HelpID"="TBD""Text"="作为单一文件显示和管理对""DefaultValue"=dword:00000000"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer""HKeyRoot"=dword:80000001"ValueName"="NoFileFolderConnection""DefaultValue"=dword:00000000"Text"="显示两部分但是作为单一文件进行管理""RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer""HelpID"="TBD""Type"="radio""CheckedValue"=dword:00000002"HKeyRoot"=dword:80000001"CheckedValue"=dword:00000001"Type"="radio""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer""HelpID"="TBD""ValueName"="NoFileFolderConnection""DefaultValue"=dword:00000000"Text"="显示两部分并分别进行管理""Type"="checkbox""Text"="@shell32.dll,-30510""HKeyRoot"=dword:80000001"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""ValueName"="WebViewBarricade""CheckedValue"=dword:00000001"UncheckedValue"=dword:00000000"HelpID"="shell.hlp#51148""DefaultValue"=dword:00000000 有这个进程的话,说明你的电脑中毒了,表现的方式就是无法显示计算机中隐藏的文件和文件夹。即使在文件夹选项中选择了"显示所有文件和文件夹",确定后它又自动改回去了。并且感染病毒后,U盘里会带一个desktop.exe的病毒文件,有一个folder.exe文件,有可能还有desktop2.exe,都是隐藏的,有一些还伪装成受系统保护的文件。感染到电脑后会生成SVCHOST.EXE病毒母本。手工删除它的方法如下:
1.打开任务管理器,把病毒进程wuauserv.exe关掉(这个进程在安全模式里也能被病毒启动)。
2.打开注册表编辑器(在开始->运行中输入regedit),找到
,把"CheckedValue"的健值改为1,类型为dword。
再找到,把"Userinit"这个键的键值改为"userinit.exe,"(带逗号的)。
3.然后打开"文件夹选项"->"查看",把"隐藏受保护的操作系统文件"的勾去掉,把"显示所有文件和文件夹"选上,确定。
4.进入c:\\windows\\system32\\目录,按照文件类型排序,找到wuauserv.exe文件,删除。在目录最底下会发现有两个注册表文件,分别是boothide.reg和bootrun.reg,删除它们(不要管弹出的警告)。
5.最后的一步需要删除一个svchost.exe文件。先打开任务管理器,可以看到里面有多个SVCHOST.EXE进程,大部分都是全部大写的字母,其中有一个是写成小写的svchost.exe,这个就是病毒的进程。如果你使用的是XP的SP2系统,在进程上点右键,选择"打开所在目录",就可以打开这个进程所在的目录,是在c:\\windows\\system32\\svchost\\目录里。先把这个小写的svchost.exe进程停止掉,再把这个目录整个删除掉,就OK了。
(有的同学说,也不一定通过大小写来判断就是准确的,因为他的全都是小写。这种情况下,一种方法是通过看它所在的目录来判断,如果是在system32文件夹下,就是正常文件,如果是在上述文件夹下,就是病毒。另外一种就是可以把所有的svchost.exe进程都关掉,如果是系统的进程的话,会自动再打开。这种方法我没试过,但那位同学试过是可以的。)
6.重启后进入系统,打开任务管理器发现病毒进程没了。文件夹选项也没被改,查看病毒文件也没了。至此终于可以正常随意地显示隐藏文件了。
7.中毒的U盘里会带有desktop.exe这个病毒文件,有folder.exe文件,有的还有desktop2.exe文件,只有在显示受保护的系统文件的情况下才能看到,删除时会有警告,不用管他。还有其他一些隐藏文件如autorun.inf,不管他,都删了。在删除电脑里的病毒时别忘了把自己U盘插上,把病毒也清了,觉得麻烦就格了。在别人的电脑里使用U盘时先确定该电脑里的进程里有没有wuauserv.exe,免得再次中招。
二、发现进程当中有sxs这个进程
这个病毒和上面那个表现是一样的,都是无法显示系统中隐藏的文件。手工删除的方法如下:
1.打开任务管理器,在进程中查找sxs或SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉。
2.打开注册表编辑器(同上),找到
,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建->Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。然后在文件夹->工具->文件夹选项中将系统文件和隐藏文件设置为显示。
3.在各个分区盘和U盘上单击鼠标右键,选择打开(一定不要双击打开,否则就又中病毒了),看到每个盘根目录下有autorun.inf和sx*.**e两个文件,将其删除。
4.再打开注册表编辑器,找到
下找到SoundMam键值,可能有两个,删除其中的键值为C:\\WINDOWS\\system32\\SVOHOST.exe的。最后到C盘下的C:\\WINDOWS\\system32\\目录下删除SVOHOST.exe或sx*.**e
5.重新启动系统,就会发现病毒已经清除。
页:
[1]