無法顯示隱藏文件,不能顯示隱藏文件解決方法
現象:打開文件夾,沒有辦法顯示隱藏的文件,點擊工具-文件夾選項-查看所有文件設置無效果,壹點照樣還是不顯示隱藏文件。
發生這種問題是電腦中病毒了 被病毒修改了 註冊表。
解決方法:
新建壹個記事本文件 把下面的內容拷貝到裏面去
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
並且把文件名命名為 顯示被隱藏的文件.REG
文件名可以任意取,但是要把後綴改為了.reg
如果妳不能顯示文件後綴請 點擊 文件夾 工具--文件選項-查看--把隱藏已知文件擴展名
熊貓燒香病毒,autorun.inf 清除,專殺
作者:佚名 文章來源:本站原創 點擊數:34 更新時間:2007-1-10 21:01:27
瑞星熊貓燒香專殺工具
/Soft/cygj/200612/66.html
江民熊貓燒香專殺工具
/Soft/rjxz/200612/68.html
金山熊貓燒香專殺工具
/Soft/cygj/200612/67.html
熊貓燒香病毒變種 spoclsv.exe 解決方案
病毒大小:22,886 字節
加殼方式:UPack
樣本MD5:9749216a37d57cf4b2e528c027252062
樣本SHA1:5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
發現時間:2006.11
更新時間:2006.11
關聯病毒:
傳播方式:通過惡意網頁傳播,其它木馬下載,可通過局域網、移動存儲設備等傳播
技術分析
==========
又是“熊貓燒香”FuckJacks.exe的變種,和之前的變種壹樣使用白底熊貓燒香圖標,病毒運行後復制自身到系統目錄下:
%System%\drivers\spoclsv.exe
創建啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
修改註冊表信息幹擾“顯示所有文件和文件夾”設置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
在各分區根目錄生成副本:
X:\setup.exe
X:\autorun.inf
autorun.inf內容:
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe
嘗試關閉下列窗口:
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword
結束壹些對頭的進程:
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe
禁用壹系列服務:
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc
刪除若幹安全軟件啟動項信息:
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse
使用net share命令刪除管理***享:
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y
遍歷目錄,感染除以下系統目錄外其它目錄中的exe、com、scr、pif文件:
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone
將自身捆綁在被感染文件前端,並在尾部添加標記信息:
.WhBoy{原文件名}.exe.{原文件大小}.
與之前變種不同的是,這個病毒體雖然是22886字節,但是捆綁在文件前段的只有22838字節,被感染文件運行後會出錯,而不會像之前變種那樣釋放出{原文件名}.exe的原始正常文件。
另外還發現病毒會覆蓋少量exe,刪除.gho文件。
病毒還嘗試使用弱密碼訪問局域網內其它計算機:
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步驟
==========
1. 斷開網絡
2. 結束病毒進程
%System%\drivers\spoclsv.exe
3. 刪除病毒文件:
%System%\drivers\spoclsv.exe
4. 右鍵點擊分區盤符,點擊右鍵菜單中的“打開”進入分區根目錄,刪除根目錄下的文件:
X:\setup.exe
X:\autorun.inf
5. 刪除病毒創建的啟動項:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"
6. 修改註冊表設置,恢復“顯示所有文件和文件夾”選項功能:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
7. 修復或重新安裝反病毒軟件
8. 使用反病毒軟件或專殺工具進行全盤掃描,清除恢復被感染的exe文件