zhouyushu

今天电脑中了一个永远都删除不了的病毒。具体表现如下：
  
1.显示不了隐藏文件，在“工具—文件夹选项—查看”里，选择了“显示所有文件和文件夹”，当我按 “确定”

或者 “应用” 之后，退出“文件夹选项”，可是隐藏的文件还是没显示出来，于是我再去看，发现“显示所

有文件和文件夹”这里又改成了“不显示隐藏文件和文件夹”，重复N次之后，照样如此。

2.在“我的电脑”中打开窗口或是打开IE浏览器第一下全部为小窗口，且会在几秒后自动关闭。

3.所有的杀毒软件都运行不了，也安装不了。

4.运行regedit没任何反应,注册表打开不了。

5.按“Alt+Ctrl+Delete”没有任何反应，进程查看不了。

6.在DOS下用“Format C:/u”彻底格式化C盘后，再重新安装系统，问题照旧（安装盘以前已经用过无数次

，绝对没毒），以前我电脑中毒的用彻底格式化这个终极解决办法，现在完全失效。

7.想打开IE浏览器去百度搜索解决方法，但打开的IE窗口马上被自动关闭，根本察看不了。

打电话叫来颇为精通电脑的表哥来看了后，说：“把这个电脑扔了吧，没救了，现在硬盘便宜很。就算你

全部资料不要了，完全格式化整个硬盘再重新分区，病毒仍然会存在。”我说这个硬盘扔掉可以，但买个

新硬盘后再中毒岂不又要扔掉？？表哥无语……

我的电脑到底还有救么？到底有解决的办法不？魔高一尺，就应该道高一丈，哪位强人帮一下啊，谢谢！

[ 本帖最后由 zhouyushu 于 2008-2-23 07:57 编辑 ]

zhangfeng

都这样了，劝你最好重新装吧！！！

minen

应该是病毒木马篡改注册表了，病毒木马把SHOWALL的CheckedValue的值的属性改成REG_SZ,而不是DWORD!!!所以无论SHOWALL的CheckedValue是否==1,都不起作用!改回后回复正常!

找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可。


如果你设置仍起不了作用，那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)

针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""


具体操作方法：
1）通过记事本新建一个文件
2）将以上内容复制到新建的记事本文件中
3）通过记事本文件菜单另存为show.reg
4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。

注意：以上方法对win2000和XP有效

120758285

别听你biao哥瞎掰，不知电脑有没有和别人组内网，估计病毒有两个可能：

1是从内网发起的攻击使你中病毒，2是其他盘含有病毒，使你格式化c盘后又感染。对于第一种情况你可以重装系统后加防火墙，对于第二种情况你可以把其他盘格式化后重装。

911eva

如果3楼的方法不能解决  下载sreng  (置顶帖有)  扫描后
把日志用附件形式传上来

zhouyushu

注册表打开不了,无法修改注册表。照2楼的方法建一个showall.reg文件，双击showall.reg文件，完全没任何反应。没有弹出的什么对话框。
现在又发现一个变态的特征：
我的杀毒软件安装文件备份在D：\Downloads\网络安全 文件夹中，当我一打开这个文件夹，窗口就会马上自动关闭。而在D：\Downloads\的其他文件夹里打开浏览半天窗口也没有被自动关闭。尝试若干次，每次都这样。病毒是怎么知道我这个文件夹里有杀毒软件的？？？
在网页里搜索“杀毒软件”“查杀病毒”等，比如百度搜索，百度搜索结果的网页立即被自动关闭，手脚超快地点击了一个搜索出来的网页连接，此窗口也被马上自动关闭，查看不到任何内容。
在我们的晓风论坛此版面中，打开我这个贴子的IE窗口不被自动关闭，但我一点击此版面最置顶的那个有关杀毒，木马的那个贴，IE窗口马上被自动关闭。
无法理解啊，是这个病毒这么智能？还是我真的撞鬼了？

zhouyushu

现在,病毒越来越发作得厉害了.在开机两三分钟之内能上网,过了这几分钟,任何网也也打不开了.全部显示找不到此网页。重新启动电脑后头几分钟之内能上网,，之后又一样上不了网。重复N次都一样。

911eva

http://bbs.xfnow.com/thread-290118-1-1.html
在此帖下载sreng

zhouyushu

sreng扫描报告见附件，请杀毒后查看！！！！！

911eva

兄弟  你用中文嘛...眼睛都看酸了

你中了木马群  数了一下  你中的木马不下20个  后门全开  IFEO被镜像劫持(AV终结者) 可以这么给你说  该有的都有了..
1.首先 用IFEO映像挟持修复工具  修复 在帖子 http://bbs.xfnow.com/thread-290118-1-1.html
再下一个XDelBox  做准备
2.确定能进安全模式不(开机按F8)???最好先进安全模式 用杀软干掉一些木马 (太多了  ) 如不能进  跳过

3.关闭所有窗口 ===〉运行sreng.exe ===〉启动项目 ===〉注册表 ===〉选中下面的项目 ===〉删除
算了 我给你说哪些留下 其余全部删 以下留下
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  
"%ProgramFiles%\Outlook Express\setup50.exe
%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
4.关闭所有窗口 ===〉运行sreng.exe启动项目 ===〉服务 ===〉win32服务 勾选 “隐藏以认证微软” ===〉选中下面的项目===〉点选“删除服务” ===〉设置 ===〉是
<C:\WINDOWS\system32\big5_gb2312.exe><N/A>
<C:\WINDOWS\system32\servciesa.exe><N/A>
<C:\WINDOWS\system.exe><N/A>
<C:\WINDOWS\system32\KERNL32.exe><N/A>
<C:\WINDOWS\TASKMANT.exe><N/A>
<C:\WINDOWS\system32\ServeHost.exe><N/A>
<C:\WINDOWS\system32\Rpcs.exe><Microsoft Corporation>

5.启动项目 ===〉服务 ===〉驱动程序 勾选 “隐藏微软服务” ===〉选中下面的项目===〉点选“删除服务” ===〉设置 ===〉是
<system32\drivers\hprocess.sys><N/A>
<system32\DRIVERS\FAD.sys><Windows (R) 2000 DDK provider>
<system32\DRIVERS\hcalway.sys><Windows (R) 2000 DDK provider>
<system32\drivers\abhcop.sys><Systems Internals>

6.启动项目===〉启动文件夹   如下项删除：
<C:\Documents and Settings\Dragon\Start Menu\Programs\Startup\划词搜索.lnk --> C:\PROGRA~1\HuaCi\huaci\zsearch.exe [中搜在线]><N>

7.系统修复===〉windowns shell /ie===〉全选===〉修复
   系统修复===〉高级修复===〉重置winsock//修复安全模式//自动修复

8.安全模式下用XDelBox删除以下文件(可能是隐藏的)
c:\windows\system32\snowfall.exe
C:\test.exe
c:\windows\system32\Kernl32.exe
c:\windows\system32\RpcS.dll
c:\windows\system32\RpcS.exe
C:\Program Files\SearchNet\SearchNet.exe
C:\WINDOWS\system32\ServeHost.exe
C:\windows\TASKMANT.EXE
C:\WINDOWS\system32\servciesa.exe
C:\WINDOWS\system32\servciesb.exe
C:\Program Files\HuaCi\huaci\zSearch.exe
C:\Program Files\SearchNet\SrvNet32.dll
C:\Program Files\HuaCi\huaci\Mouse1.dll
C:\Program Files\DeskAdTop\fshook.dll
C:\Program Files\DeskAdTop\deskipn.dll
C:\windows\system32\IeBar.dll

最后下载个AutoRun清除工具 或者升级杀软  安全模式下全面杀毒

[ 本帖最后由 911eva 于 2008-2-23 01:38 编辑 ]

911eva

杀完毒后再扫描个日志上来

zhouyushu

先在DOS状态下完全格式化C盘后，再一次重新安装了系统（目前我身边只有英文系统安装光碟，sreng2也是英文的，不好意思啊），然而发现问题依旧。我不知道这些病毒木马是存储在哪里而即使格式化也删除不了它们。
按F8能进入安全模式。但此时杀毒软件安装不了。只要你一打开包含有“病毒”，“杀毒”，“安全”，“木马”，“瑞星杀毒”，“金山毒霸”等此类的关键词的文件夹或网页时，都会被立即自动关闭。当把存放杀毒软件的文件夹改成没有上述关键词的其他名字时，窗口就不会自动关闭，但双击杀毒软件安装时立马提示出错，安装窗口关闭。网页也一样，所以下载不到。
幸好sreng2能运行，然后我就按照大大提供的步骤进行。并用XDelBox删除你所提及的文件，因为重新安装了系统，所以很多你所说的文件并不存在。最后用AutoRun清除。
操作完之后发现没什么改变，只是电脑重启时变慢，因为运行regedit以及按“Alt+Ctrl+Delete”没任何反应，我看不到进程，不知道什么程序在运行。所以安装了
“看门狗＋进程猫”（不知道这个也算不算木马程序，幸好能安装），终于在程序里查看到了进程，我胡乱关闭了几个看着不太熟悉的进程后发现，这次在“我的电脑”中打开窗口第一下不再是小窗口，我觉得还不错，终于有点改变了。
接着就下载了个“AV终结者专杀_AV_Killer2”，发现它能扫描功能，让它扫描完后却没发现任何病毒，但意外地上面有个下载金山清理专家的官方连接，于是就下载了金山清理专家，同样意外地这个软件居然能安装，没有出错。
于是我就进入安全模式查毒，查到如下木马：logogo(Troj.AgentT.ge)  ，Kernl32，
W32.Pifio，伪svchost下载者B(Troj)，Server(Hack)，Test.exe(Troj)，xuedfvs(Troj)，AV 终结者(Troj)，OSO蠕虫，z8k8.com，划词搜索
全部清除上述木马后，发现有“毒”类关键词的窗口和网页不再被自动关闭，同时运行regedit终于能打开注册表，大喜。
但此时隐藏文件夹仍显示不出来，在“工具—文件夹选项—查看”里，选择“显示所有文件和文件夹”没用。于是在网上搜索到一个“显示隐藏修复.reg”的文件，双击后发现终于能显示出隐藏文件了。

但现在按“Alt+Ctrl+Delete”依然没有任何反应，不能直接进程。同样我不知道这些病毒在C，D，E，F，G等盘中日否依然存在。格式化都删除不了的病毒，我真不知道它们藏在哪里？？
现附带sreng2的再一次的扫描日志上来，请大大看看，非常感谢！！！

911eva

1.关闭所有窗口 ===〉运行sreng.exe ===〉启动项目 ===〉注册表 ===〉选中下面的项目 ===〉删除
<yassistse><"C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe">  [Yahoo!]
  <IFEO[abddddc.EXE]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
<IFEO[appdllman.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
  <IFEO[auto.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
  <IFEO[AutoRun.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
  <IFEO[guangd.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
  <IFEO[kernelwind32.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
  <IFEO[logogo.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
  <IFEO[regedit32.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
<IFEO[servet.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
<IFEO[sos.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
<IFEO[taskmgr.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
<IFEO[UFO.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
<IFEO[Wsyscheck.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]
<IFEO[XP.exe]><C:\WINDOWS\system32\snowfall.exe>  [N/A]

运行sreng.exe启动项目 ===〉服务 ===〉win32服务 勾选 “隐藏以认证微软” ===〉选中下面的项目===〉点选“删除服务” ===〉设置 ===〉是
<C:\WINDOWS\system32\servciesa.exe><N/A>

启动项目 ===〉服务 ===〉驱动程序 勾选 “隐藏微软服务” ===〉选中下面的项目===〉点选“删除服务” ===〉设置 ===〉是(如不能删除 启动项改为DISABLED)
<\SystemRoot\system32\drivers\CnsMinKP.sys><Copyright (C) 3721 Corporation.>

用IFEO映像挟持修复工具  修复

用XDelBox删除以下文件
C:\WINDOWS\system32\servciesa.exe
C:\WINDOWS\system32\snowfall.exe

snowfall.exe这个家伙一定要卸干净  可在注册表里面搜索snowfall.exe   找到的相关键值全部删除
用金山清理专家把 yahoo助手也卸了  那东西不是好东西 这个 看门狗 也卸掉吧

重装后在没上网就中毒   很可能是你系统盘有问题(染毒了.)
你重装后的正确方法是  不要打开任何盘(D.E.F.....)直接下载杀软  升级到最新病毒库 全面杀毒

splj

是不是得罪"黑社会"了??呵呵，长知识啊

btttb

我也中过此类病毒，是av终结者病毒，首先找个终结者专杀工具，修复镜像劫持，就可以用杀毒工具杀了，最好在安全模式下杀。哈哈