我最近发现电脑里有木马,现在木马清道夫在正常运行时不能安装.在命令行安全模式下安装完成后,启动后三秒自动关闭.在cmd下能找到autorun.inf和sxs.exe.但是文件夹下找不到,修改文件夹选项下,仍不能显示隐藏文件(文件夹选项其中显示所有文件和文件夹,该选支无法修改),请高手指点
參考答案:找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
explorer\Advanced\Folder\Hidden\SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。
然后打开除C盘之外的其它盘(点击右键打开),根目录下是不是存在autorun.inf 和一个隐藏的可执行文件,注意,这两个文件也是隐藏的。你改了资源管理器的显示后应该能看到,除非你又刷新了文件显示。另外一个方法是看看任务管理器中有否该可执行文件文件,如果有的话,这是中了病毒。
如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:***********
"ValueName"="Hidden"
"DefaultValue"=dword:***********
"HKeyRoot"=dword:***********
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:***********
"ValueName"="Hidden"
"DefaultValue"=dword:***********
"HKeyRoot"=dword:***********
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:***********
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:***********
"UncheckedValue"=dword:***********
"DefaultValue"=dword:***********
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为showall.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
注意:以上方法对win2000和XP有效showall.rar下载
从“开始→设置→文件夹选项”或者资源管理器的“工具→文件夹选项”打开设置窗口,单击“查看”标签,就可以一睹控制着文件夹显示面貌的“高级设置”了。那么,你知道如何更好地利用它来保护自己的文件吗?
很多人都使用这样一种简单的办法来保护和隐藏自己的重要文件:在“高级设置”窗口中,选定“隐藏文件”中的“不显示隐藏的文件或系统文件”(如图1),然后在资源管理器中将重要文件或文件夹的属性设为“系统或隐藏文件”,从而令文件从他人的眼皮底下消失了。
这对初级用户是非常奏效的方法,但稍有一些基础的用户,这却是不堪一击的——只要选定“显示所有文件”,一切便暴露无遗了!不过,聪明人自有办法,他们会借助“侠客系统修改器”之类的软件让“文件夹选项”菜单从系统中消失,让你无从下手,除非你另找一个这样的软件让其复原,否则你就算知其然也只能干瞪眼。
其实,还有更绝的办法,让我们来进行一个实验:运行“regedit”启动注册表编辑器,打开KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL,为安全起见,请先将该分支导出,然后删除SHOWALL分支,重新打开“高级设置”窗口,你就再也找不到“显示所有文件和文件夹”选项,自然他人想修改也无从下手了!
对注册表有一定了解的朋友很快就能明白其中的奥秘:原来“文件夹选项”中的所有设置都保存在注册表的...\Advanced\(同上)分支中。只要在注册表中做一点手脚,“文件夹选项”对话框就掌握在你手中了!
以Windows 98为例,Folder主键下的8个主键分别对应“高级设置”窗口中“文件和文件夹”下的8个选项,Visual下的3个主键则分别对应“可视设置”下的3个选项。具体对应哪个选项,只要在注册表编辑器窗口右格中查看各主键名称和主键对应的“Text”的键值就可明白(如图2)。
例如,SHOWALL主键对应的“Text”的键值为“显示所有文件”,说明SHOWALL主键对应“高级设置”窗口中的“显示所有文件”选项。因此,当我们删除此SHOWALL分支后,就再也找不到此选项,哪怕叫“芝麻开门”也不管用了。
为了让他人无法修改“高级设置”中某个文件夹选项,我们可以采用两种方法实现:
1、让选项“消失”
如上所述,只要将选项对应的主键分支删除,该选项便不会显示出来。例如,删除HideFileExt分支即可关闭“隐藏已知文件类型的扩展名”选项不显示。如果没备份的话,删除分支后要恢复就比较麻烦了。其实有一个更简单的办法可以关闭选项:找到对应的主键下键名为“Type”的二进制键值,双击修改它的键值,在其原键值后加上任意一个数字即可关闭该选项。例如,将SHOWALL主键下的“Type”的键值由原来的“radio”改为“radio2”后,对应的“显示所有文件”选项就不显示了。这样以后要恢复显示时,只需将“radio2”改回为“radio”即可。
2、让修改“无效”
选项不出现在对话框中,难免引起怀疑。要是让修改不起作用,则往往可迷惑住他人。在每一个具体选项对应的主键下,都有一个名称为“CheckedValue”二进制键值,将其键值修改为“0”时,他人对任何选项的修改都不会生效(注意:如果主键对应的是复选框选项,则该主键下还可找到“UncheckedValue”键值,请检查其值是否为“0”,如不是,先改为“0”)。
例如,先在“高级设置”中取消对“显示所有文件”选项的复选,然后将SHOWALL分支下“CheckedValue”的键值改为“0”,则不管在对话框中如何设置,在资源管理器都不会显示隐藏文件,从而让你的文件隐藏得更可靠。当然,只要将“CheckedValue”的键值改回为“1”,对对应选项的修改又可立即生效了。
这样设置以后,对不了解注册表的用户而言,要想查看你的隐藏文件,真可谓是“云深不知处”了。如果你的电脑经常有人光顾,如果你不想让别人随意更改文件夹选项设置,不妨一试。
方法倒是很多,好多我也没试过,之于能不能成功也不的而知^_^只能说给大家多一个选择的机会。
