Looki's Blog » 病毒

磁盘双击或右键出现打开方式终极解决方法

Looki — Thu, 27 Mar 2008 03:54:35 +0000

Set WshShell = WScript.CreateObject("WScript.Shell")

p1 = "HKEY_CLASSES_ROOTDirectoryshell"
p2 = "none"

WshShell.RegWrite p1, p2

p1 = "HKEY_CLASSES_ROOTDriveshell"
WshShell.RegWrite p1, p2

X = WshShell.Run("REGSVR32 /I /S SHELL32.DLL",4,True)
Set WshShell = Nothing

MyBox = MsgBox("Folders will now Open when double clicked", 4096, "Finished!")

将上面引用框中的内容复制到记事本内，保存为open.vbs，双击运行即可，保证药到病除
注意：如果杀毒软件弹出警告，请选择忽略或跳过。

手动清除candoall.exe病毒

Looki — Fri, 26 Oct 2007 03:38:33 +0000

同事的电脑这两天不停的往外弹网站，查看了半天后发现一个异常文件：masxml32.dll，是一个BHO项目，并且手动删除后又会自动生成。
心想应该是碰到厉害角色了，上网搜索了一下，果不其然。下载IceSword后好不容易算是清除干净了。

以下内容摘自卡卡社区：

中毒后释放下列文件到中招的电脑中：
C:WINDOWSsystem32candoall.exe
C:WINDOWSsystem32alldele.ini
C:WINDOWSsystem32allinstall.exe
C:WINDOWSsystem32allread.ini
C:WINDOWSsystem32hideme.sys
C:WINDOWSsystem32MASSLTUAS35.DLL（同事电脑未发现此文件）
C:WINDOWSsystem32masxml32.dll
C:WINDOWSsystem32passsd.exe
C:WINDOWSsystem32低价充会员.url
C:WINDOWSsystem32低价充钻.url
还有，IE临时文件夹中一堆乱七八糟的病毒相关文件。
IceSword进程列表中可见红字显示的C:WINDOWSsystem32candoall.exe进程（隐藏）以及iexplore.exe进程。
candoall.exe通过80端口访问网络，反复打开http://www.investpoll.net/这个主页。（打开网站可能会不同，同事电脑是打开一个taobao店铺）
这个病毒的C:WINDOWSsystem32hideme.sys功能还行，XDELBOX通过剪贴板导入上述病毒文件时，均报告文件不存在。
常用的方法（如：用WINRAR查看文件）也找不到这些病毒文件。
中招后注册表改动内容如下：

HKEY_CLASSES_ROOTAllDll.AllBHO
HKEY_CLASSES_ROOTAllDll.AllBHO.1
HKEY_CLASSES_ROOTCLSID{0EE2B1C1-0357-4175-A2E1-8E8E1A033AE5}
HKEY_CLASSES_ROOTCLSID{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CLASSES_ROOTCLSID{6233543C-2323-456A-A169-2E9C5E6E977B}
HKEY_CLASSES_ROOTInterface{E44384ED-10F7-49FD-A210-41C9BD4A119C}
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor
"AutoRun"="C:windowssystem32candoall.exe"
HKEY_CLASSES_ROOTTypeLib{04750F2D-DE63-4790-90F4-C5CE892E5AA4}1.0win32
@="C:windowssystem32masxml32.dll"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2R
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2{f7b74df2-e1a1-11db-8a2e-806d6172696f}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamBags6Shell
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetHardware Profiles001SoftwareMicrosoftwindowsCurrentVersionInternet Settings
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{0045D4BC-5189-4B67-969C-83BB1906C421}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{00C6482D-C502-44C8-8409-FCE54AD9C208}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{5CA3D70E-1895-11CF-8E15-001234567890}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{92780B25-18CC-41C8-B9BE-3C9C571A8263}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{D1A4DEBD-C2EE-449F-B9FB-E8409F9A0BC5}
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExtStats{F040E541-A427-4CF7-85D8-75E3E0F476C5}
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceshideme
其中：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCommand Processor
"AutoRun"="C:windowssystem32candoall.exe"
这种加载方式还不多见。

用IceSword的手工杀毒流程：

1、结束C:WINDOWSsystem32candoall.exe以及iexplore.exe进程。
2、删除下列文件：
C:WINDOWSsystem32candoall.exe
C:WINDOWSsystem32alldele.ini
C:WINDOWSsystem32allinstall.exe
C:WINDOWSsystem32allread.ini
C:WINDOWSsystem32hideme.sys
C:WINDOWSsystem32MASSLTUAS35.DLL
C:WINDOWSsystem32masxml32.dll
C:WINDOWSsystem32passsd.exe
C:WINDOWSsystem32低价充会员.url
C:WINDOWSsystem32低价充钻.url
清空IE临时文件夹。

3、删除病毒添加的上述注册表内容
（其中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceshideme必须用IceSword这类较强的工具才能删除）。

IFEO映像劫持

Wed, 13 Jun 2007 02:07:09 +0000

前两天一位同事说电脑有问题，让我过去看看。
过去一看大惊，居然有中了N个木马及流氓软件，系统目录下能看见的就有百十来个可疑文件…
手动清除一番后，情况有所好转，重新启动电脑，发现原来装的norton已经失效，于是重新装了个mcafee8.5
升级完病毒库，运行扫描时却提示找不到mcafee的执行文件！捣鼓了半天也没找到原因所在，上网搜索了一下，
发现这和IFEO映像劫持的症状类似。去霏凡下载了autoruns，执行，依然提示找不到文件，改名后可以正常运行了
找到Image hijack (映像劫持）这一项，里面果然有一堆的键值，除了常见的一些杀毒软件外，居然优化大师、超级兔子之类也名列其中-_-!
而且全部指向的是之前删除的那些病毒文件，难怪会一直提示打不到文件呢
马上删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:windowssystem32
tsd.exe 以外的所有项目，再运行mcafee，顺利打开。
如果有碰到杀毒软件打不开，或者是运行A却成了执行B的程序，而改名后却可以正常运行的情况时，就可以用autoruns来解决了。

卡巴斯基6.0.1.411正式免激活版

Looki — Thu, 07 Dec 2006 02:17:48 +0000

在cnBETA上看到的，顺手就转过来了，应该有人用得上吧。反正我是一直用这个杀毒软件的：）

俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括：病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序，时刻监控一切病毒可能入侵的途径。产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术，能够有效查杀"冲击波"、"Welchia"、"Sobig.F"等病毒及其其他8万余种病毒，并可防范未知病毒。另外，该软件的界面简单、集中管理、提供多种定制方式，自动化程度高，而且几乎所有的功能都是在后台模式下运行，系统资源占有低。最具特色的是该产品每天两次更新病毒代码，更新文件只有3-20Kb，对网络带宽的影响极其微小，能确保用户系统得到最为安全的保护，是个人用户的首选反病毒产品。

官方下载地址：http://www.kaspersky.com.cn/KL-Downloads/KL-Product6.0.htm

[江南混混作品]卡巴6正式版-中文傻瓜安装(免设置，自激活)[2006-12-5更新]
1、首先感谢　卡饭论坛汉化组：屁股乐土　提供的汉化，因为本“傻瓜安装版”的简体中文文件是基于此汉化修改而来。
2、本“傻瓜安装版”安装无需任何设置，安装结束后就是已经激活的卡巴斯基6.0.1.411正式版的简体中文汉化版。
3、本“傻瓜安装版”中绝对不包含任何恶意软件，或者其他任何的隐藏安装，本人可以以人格担保。
4、安装文件主要包含3部分卡巴斯基6.0.1.411正式版+基于屁股乐土汉化修改而来的简体中文文件部分+key(kav激活到2007-11-18;kis激活到2007-12-2)

　另：原版的杀猪声也被改成一个温柔的中文女声！

下载地址（服务器线路为南方电信，使用其他服务商线路的卡饭在下载文件时可能会受到一定影响）：
Kav:
    KAV6.0.1.411SCH.EXE(http://www.huiten.net/KAV6.0.1.411SCH.EXE)
Kis:
    KIS6.0.1.411SCH.EXE(http://www.huiten.net/KIS6.0.1.411SCH.EXE)
Kis（for windows 2003）:
    KIS6.0.1.411SCH_Server.EXE(http://www.huiten.net/KIS6.0.1.411SCH_Server.EXE)

说　明：KIS(for windows 2003) 实际上是和KIS一样的，只是屏蔽了对server类操作系统的判断，所以可以安装在windows 2003上，本人专门在服务器上试过，可以使用，而且，测试过程中一切正常！！
　有了它，你还需要再等官方的简体中文正式版么？（呵呵）

本人还自制了一个版本，放在单位内部用，就是安装过程中直接设置好内网的升级服务器地址，这样单位内部网里的用户只要下载安装，而无需任何设置就可以直接在单位内部网中升级！
　　如果有人需要，可以留下您单位自己架设的内网的升级服务器地址，如果我有时间我会帮助制作该版本。

注意：2006-12-3 23:35:00　对文件进行的更新！，2006-12-4 11:40:00再次更新

1、修改了一个重大的bug(当用户进行选择安装时无法导入skin文件夹，致使卡巴无法正常启动，之后也不能正常卸载)，现在已经完全搞定！！
2、修改了几处翻译。
3、修改了２个常用的设置值：
　　－－隔离、备份的相关记录只保存一天！
　　－－界面外观不启用半透明，以节约部分资源(证明这部份不能在安装时设置，已经恢复)
　　　(感谢　z12×10c 及时将安装后发现的问题反馈！！)

请已经下载的卡饭重新下载，在此向大家表示道歉！

最新更新(2006-12-5 19:10:00)

1、KAV作了修改最后更新于（2006-12-5 01:10:00）
2、使用了新的汉化（结合了屁股乐土和醉翁的，并在此基础上对文本格式进行了排版，及部分汉化内容的修改，个人觉得比较完美）
3、KIS　KAV 各解决了一处BUG　（登陆时右上角没有徽标的问题） KIS最后更新于（2006-12-4 23:36:00）

4、新发布可以安装在windows 2003 系统上的KIS版本！！（2006-12-5 19:00:00）

解决无法显示隐藏文件

Looki — Wed, 29 Nov 2006 06:10:46 +0000

运行——regedit 找到下面的键值：

HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL
将CheckedValue键值修改为1。

但也可能依然没有用，隐藏文件还是没有显示，这是因为，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0。这时我们就和删除此CheckedValue键值，单击右键新建——Dword值——命名为CheckedValue 然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”了。

注意：以上操作方法必须在病毒已经清除的情况进行，否则有可能无效（病毒文件会实时修改此键值）

以下为在网络中找到的解决办法：

针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicy]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden]
@=""

具体操作方法：
1）通过记事本新建一个文件
2）将以上内容复制到新建的记事本文件中
3）通过记事本文件菜单另存为show.reg
4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。

注意：以上方法对win2000和XP有效