失败的杀毒经历

发表于 2007年09月15日 pitt

悲惨啊,今天又感染病毒了,卡巴竟然浑然不觉,用奇虎360扫了一下,显示如下:v1.gif

可是就是清理不掉,隐藏文件无法打开,更改注册表也不行,只有到安全模式下,修改注册表,打开隐藏文件,这里有个导入注册表文件,把下面的代码复制到记事本里,保存为**.reg文件,运行即可。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“SuperHidden”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
“Text”=”@shell32.dll,-30499″
“Type”=”group”
“Bitmap”=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
“HelpID”=”shell.hlp#51131″

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
“Text”=”@shell32.dll,-30501″
“Type”=”radio”
“CheckedValue”=dword:00000002
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51104″

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
“RegPath”=”Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced”
“Text”=”@shell32.dll,-30500″
“Type”=”radio”
“CheckedValue”=dword:00000001
“ValueName”=”Hidden”
“DefaultValue”=dword:00000002
“HKeyRoot”=dword:80000001
“HelpID”=”shell.hlp#51105″

运行奇虎360清理了那个插件之后,

工具——>文件夹选项——>查看——>显示所有文件和文件夹,发现所有盘根目录下多了一下隐藏文件:

snown.exe、netdde.exe、wsctf.exe

统统删除后 ,重起,原来以为就好了,没想到,一会儿,卡巴的主动防御跳出来了,事后找到了一下记录:

2007-9-15 18:07:08 C:\WINDOWS\System32\snownClean.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe Debugger C:\w_x.exe Unicode 空结束字符串 创建 detected
2007-9-15 18:07:08 C:\WINDOWS\System32\snownClean.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe Debugger C:\w_x.exe Unicode 空结束字符串 创建 阻止
2007-9-15 18:10:25 C:\WINDOWS\System32\snownClean.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe Debugger Unicode 空结束字符串 创建 detected
2007-9-15 18:10:25 C:\WINDOWS\System32\snownClean.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe Debugger Unicode 空结束字符串 创建 阻止
2007-9-15 18:45:00 C:\WINDOWS\system32\netdde .exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\Hidden\SHOWALL CheckedValue 0×00000000 (0) 32 位数字 修改 detected
2007-9-15 18:45:00 C:\WINDOWS\system32\netdde .exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

\Folder\Hidden\SHOWALL CheckedValue 0×00000000 (0) 32 位数字 修改 允许
病毒又出现了,弹出的那个下着缤纷的雪花,一排一排彩色的字跳出来的题为“九月的雪”的诗的全屏画面,我的心受挫了,看来低估它了,刚才在安全模式下没杀干净啊,只有用奇虎360的autorun专杀工具了。

收藏与分享

关于 pitt

不慌..不乱.. 请相信Pitt....
此条目发表在 Daily Life 分类目录,贴了 标签。将固定链接加入收藏夹。

发表评论

电子邮件地址不会被公开。 必填项已被标记为 *

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>