解决无法显示隐藏文件的问题
无法查文件是由病毒修改了注册表所致
所以,修改重新改回注册表就可以恢复正常
但是,如果不解决根本原因,到时候注册表又会被该回去
本人也已经感染过,发现是U盘内有一个autorun.inf 一般打开U盘是直接双击打开
其实这是一个很不好的习惯
试想,要是U盘的auturun.inf是一个恶意的病毒命令的话
你的机器就成了病毒的有一个新载体了
该病毒寄载在U盘移动硬盘内,并生成一个autorun.inf和xsx.exe
一旦用户直接双击了u盘,系统便会自动运行auturun.inf
加载xsx.exe。同时系统进程里将会多了一个svohost.exe进程
而且还会修改注册表以便下次自动加载,据说还会弹出广告
大多数通过U盘传播的病毒有个共同的特点
在U盘生成一个隐藏的autorun.inf文件
其实,如果不双击U盘,是没有什么危险的
所以,大家有必要养成一个良好的习惯
打开U盘用右键,然后点击打开
这样的确可以避免很多很多的麻烦
大家可以这样解决问题:
1、打开进程,察看是否有个svohost.exe进程,注意不是svchost.exe,如有,关闭之
2、下载本帖后面提供的.reg文件(游客可以直接下载),双击运行之。
3、然后打开一个文件夹,进入菜单的工具-文件夹选项,进入察看页面,点击显示所有文件夹 即可看到隐藏文件
4、点击右键打开U盘,删除autorun.inf xsx.exe,除了C盘其他的盘都可能感染,所以,同时删除D: E: F: ...根目录下的隐藏文件.
5、在C:目录下搜索“SVOHOST.exe”,删除之(注意在高级选项中把搜索隐藏文件及文件夹勾上)
6、运行"regedit"命令,按Ctrl+F查找“SVOHOST”,注意要把“数据”那项勾上,删除之,按F3继续,再删。。。。
7、养成良好习惯,打开U盘点击右键,再点击打开
===============================================================================
描述:这两天电脑出了问题,老是跳出啥www.677977.com和www.cd321.com的网页,同时将我的隐藏文件的显示选项锁掉,害我不能看到隐藏文件,而且监视我的邮件系统,向趋势公司发出邮件不能,用雅虎助手也不行,根本打不开,反间谍软件也是这样,而且一旦上网想找这方面的资料,开出的网页就会死掉, 真不知道该咋办了!
病毒名称 Trojan.QQMSG.WHboy.mn
别 名 武汉男生变种MN
依赖系统 WIN9X/NT/2000/XP
传播途径 网络传播
行为类型 WINDOWS下的木马程序
遍历窗体,关闭包含以下字符串的窗体:主要特征
“注册表”“系统配置实用程序”“QQKav”“天网”“密码防盗”“绿鹰PC”“防火墙”“进程”“网镖”“任务管理器”“杀毒”“超级兔子”“优化大师”“木马克星”“QQAV”“毒霸”“黄山IE”“腾讯公司QQ”“QQ病毒”“xleo”“whboy”“Windows 任务管理器”“ThunderRT6formDC”
病毒运行后将自身复制到Windows系统目录下,文件名为“svohost.exe”,同时修改注册表项目实现开机自动运行。病毒将IE的首页修改为“http://www. ***iex.com”,使用户每次打开IE都会浏览该病毒网站。该病毒会造成多种杀毒软件和常用软件无法使用,还会从“http://mp3.***o.com/228.exe”网站下载病毒文件并运行。
病毒一旦运行,释放自己的副本到 %windir% 目录,文件名为svohost.exe,同时修改注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 修改键值ctfnom.exe为%windir%svohost.exe;
修改IE主页的默认地址
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain子建下的Start Page项为http:// www.joyiex.com
病毒的删除
1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了
删除D:E:F:这些盘中(除了c盘)中的autorun.inf和sxs.exe两个文件
将下面代码代码保存为.reg文件运行即可恢复TXT文件关联和EXE文件关联
关联.reg
Windows Registry Editor Version 5.00
;恢复文本文件关联
[-HKEY_CLASSES_ROOT\.txt]
[HKEY_CLASSES_ROOT\.txt]
@="txtfile"
"PerceivedType"="text"
"Content Type"="text/plain"
[HKEY_CLASSES_ROOT\.txt\PersistentHandler]
@="{5e941d80-bf96-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\.txt\ShellNew]
"NullFile"=""
[-HKEY_CLASSES_ROOT\txtfile]
[HKEY_CLASSES_ROOT\txtfile]
@="文本文档"
"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
32,00,5c,00,6e,00,6f,00,74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,\
00,2c,00,2d,00,34,00,36,00,39,00,00,00
"EditFlags"=dword:00010000
[HKEY_CLASSES_ROOT\txtfile\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,35,\
00,32,00,00,00
[HKEY_CLASSES_ROOT\txtfile\shell]
[HKEY_CLASSES_ROOT\txtfile\shell\open]
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="NOTEPAD.EXE %1"
[HKEY_CLASSES_ROOT\txtfile\shell\print]
[HKEY_CLASSES_ROOT\txtfile\shell\print\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,2f,00,70,00,20,\
00,25,00,31,00,00,00
[HKEY_CLASSES_ROOT\txtfile\shell\printto]
[HKEY_CLASSES_ROOT\txtfile\shell\printto\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6e,00,6f,00,\
74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,00,20,00,2f,00,70,00,74,\
00,20,00,22,00,25,00,31,00,22,00,20,00,22,00,25,00,32,00,22,00,20,00,22,00,\
25,00,33,00,22,00,20,00,22,00,25,00,34,00,22,00,00,00
备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为不显示隐藏文件,这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把搜索隐藏的文件和文件夹勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
保存下面的代码为.reg文件运行也可以实现此步骤,不需要自己修改注册表
无法察看隐藏文件解决办法.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
所以,修改重新改回注册表就可以恢复正常
但是,如果不解决根本原因,到时候注册表又会被该回去
本人也已经感染过,发现是U盘内有一个autorun.inf 一般打开U盘是直接双击打开
其实这是一个很不好的习惯
试想,要是U盘的auturun.inf是一个恶意的病毒命令的话
你的机器就成了病毒的有一个新载体了
该病毒寄载在U盘移动硬盘内,并生成一个autorun.inf和xsx.exe
一旦用户直接双击了u盘,系统便会自动运行auturun.inf
加载xsx.exe。同时系统进程里将会多了一个svohost.exe进程
而且还会修改注册表以便下次自动加载,据说还会弹出广告
大多数通过U盘传播的病毒有个共同的特点
在U盘生成一个隐藏的autorun.inf文件
其实,如果不双击U盘,是没有什么危险的
所以,大家有必要养成一个良好的习惯
打开U盘用右键,然后点击打开
这样的确可以避免很多很多的麻烦
大家可以这样解决问题:
1、打开进程,察看是否有个svohost.exe进程,注意不是svchost.exe,如有,关闭之
2、下载本帖后面提供的.reg文件(游客可以直接下载),双击运行之。
3、然后打开一个文件夹,进入菜单的工具-文件夹选项,进入察看页面,点击显示所有文件夹 即可看到隐藏文件
4、点击右键打开U盘,删除autorun.inf xsx.exe,除了C盘其他的盘都可能感染,所以,同时删除D: E: F: ...根目录下的隐藏文件.
5、在C:目录下搜索“SVOHOST.exe”,删除之(注意在高级选项中把搜索隐藏文件及文件夹勾上)
6、运行"regedit"命令,按Ctrl+F查找“SVOHOST”,注意要把“数据”那项勾上,删除之,按F3继续,再删。。。。
7、养成良好习惯,打开U盘点击右键,再点击打开
===============================================================================
描述:这两天电脑出了问题,老是跳出啥www.677977.com和www.cd321.com的网页,同时将我的隐藏文件的显示选项锁掉,害我不能看到隐藏文件,而且监视我的邮件系统,向趋势公司发出邮件不能,用雅虎助手也不行,根本打不开,反间谍软件也是这样,而且一旦上网想找这方面的资料,开出的网页就会死掉, 真不知道该咋办了!
病毒名称 Trojan.QQMSG.WHboy.mn
别 名 武汉男生变种MN
依赖系统 WIN9X/NT/2000/XP
传播途径 网络传播
行为类型 WINDOWS下的木马程序
遍历窗体,关闭包含以下字符串的窗体:主要特征
“注册表”“系统配置实用程序”“QQKav”“天网”“密码防盗”“绿鹰PC”“防火墙”“进程”“网镖”“任务管理器”“杀毒”“超级兔子”“优化大师”“木马克星”“QQAV”“毒霸”“黄山IE”“腾讯公司QQ”“QQ病毒”“xleo”“whboy”“Windows 任务管理器”“ThunderRT6formDC”
病毒运行后将自身复制到Windows系统目录下,文件名为“svohost.exe”,同时修改注册表项目实现开机自动运行。病毒将IE的首页修改为“http://www. ***iex.com”,使用户每次打开IE都会浏览该病毒网站。该病毒会造成多种杀毒软件和常用软件无法使用,还会从“http://mp3.***o.com/228.exe”网站下载病毒文件并运行。
病毒一旦运行,释放自己的副本到 %windir% 目录,文件名为svohost.exe,同时修改注册表 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun 修改键值ctfnom.exe为%windir%svohost.exe;
修改IE主页的默认地址
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain子建下的Start Page项为http:// www.joyiex.com
病毒的删除
1.打开CMD.输入命令tasklist回车查看一下..果然发现了这个进程:svohost.exe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)
2.关了他.输入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个.一个是完全大写的.一个是完全小写的.事实上还有一个程序叫lsasa.exe的也得删除.他模仿的是WINDOWS的正常进程lsass.exe.操作到这里大家应该可以打开注册表 任务管理器了
删除D:E:F:这些盘中(除了c盘)中的autorun.inf和sxs.exe两个文件
将下面代码代码保存为.reg文件运行即可恢复TXT文件关联和EXE文件关联
关联.reg
Windows Registry Editor Version 5.00
;恢复文本文件关联
[-HKEY_CLASSES_ROOT\.txt]
[HKEY_CLASSES_ROOT\.txt]
@="txtfile"
"PerceivedType"="text"
"Content Type"="text/plain"
[HKEY_CLASSES_ROOT\.txt\PersistentHandler]
@="{5e941d80-bf96-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\.txt\ShellNew]
"NullFile"=""
[-HKEY_CLASSES_ROOT\txtfile]
[HKEY_CLASSES_ROOT\txtfile]
@="文本文档"
"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
32,00,5c,00,6e,00,6f,00,74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,\
00,2c,00,2d,00,34,00,36,00,39,00,00,00
"EditFlags"=dword:00010000
[HKEY_CLASSES_ROOT\txtfile\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,2d,00,31,00,35,\
00,32,00,00,00
[HKEY_CLASSES_ROOT\txtfile\shell]
[HKEY_CLASSES_ROOT\txtfile\shell\open]
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="NOTEPAD.EXE %1"
[HKEY_CLASSES_ROOT\txtfile\shell\print]
[HKEY_CLASSES_ROOT\txtfile\shell\print\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\
54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,2f,00,70,00,20,\
00,25,00,31,00,00,00
[HKEY_CLASSES_ROOT\txtfile\shell\printto]
[HKEY_CLASSES_ROOT\txtfile\shell\printto\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6e,00,6f,00,\
74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,00,20,00,2f,00,70,00,74,\
00,20,00,22,00,25,00,31,00,22,00,20,00,22,00,25,00,32,00,22,00,20,00,22,00,\
25,00,33,00,22,00,20,00,22,00,25,00,34,00,22,00,00,00
备注 部分会员出现结束进程后病毒 暂时失效 但是重起后死灰复燃 请注意在造作成功后 马上利用自己的杀毒工具 或者 QQ专杀进行杀毒 因为这个时候病毒的壳被去掉了 我们可以抓住这个时机做下杀毒
4.本以为没问题了.后来还发现一个问题.他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为不显示隐藏文件,这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件.但这里还有几种手段可以找到他.1.用WINDOWS的搜索.只要在高级选项里把搜索隐藏的文件和文件夹勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻烦一点罢了.由于WINDOWS和SYSTEM32目录下文件太多.用dir命令的时候.最好再加一个参数.dir /a /p这样会更好.
我们到注册表里去把他改回正常状态.
打开注册表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键.看右边.找到一个CheckedValue的值.我注意到这个该死的病毒居然把他改成了字符串值.如果你不小心的话.也许会认为改了也没用.把这个值删除.重建一个DWORD的值为CheckedValue.把他的值设为1.
保存下面的代码为.reg文件运行也可以实现此步骤,不需要自己修改注册表
无法察看隐藏文件解决办法.reg
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
加支付宝好友偷能量挖...
