与病毒搏斗，菜鸟也会有成长！

晴朗

偶这个机器装的是XP，半年前一直用的是瘟酒吧……家里米上网，都是偶用单位的硬碟扛海量的电影回家看，由于用途单一，一直米有给装杀毒软件。这样过了两年都一直相安无事，可是就在前天，问题出来了：一开始是无法找到隐藏的文件，在工具里按照正常方法设定了若干次也无法找到……每次设置以后按应用、确定之后，再进去设置居然变成了“不显示隐藏的文件”若干次都是如此。我想是中毒了。第二天百度了一下，找到那么一个方法（网络之大啊，居然米找出来是什么病毒或木马引起的……）：

如何解决无法显示隐藏文件
      找到
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可。

      如果你设置仍起不了作用，那么接下来看。
      有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)
      针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
      Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
      "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
      "Text"="@shell32.dll,-30501"
      "Type"="radio"
      "CheckedValue"=dword:00000002
      "ValueName"="Hidden"
      "DefaultValue"=dword:00000002
      "HKeyRoot"=dword:80000001
      "HelpID"="shell.hlp#51104"
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
      "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
      "Text"="@shell32.dll,-30500"
      "Type"="radio"
      "CheckedValue"=dword:00000001
      "ValueName"="Hidden"
      "DefaultValue"=dword:00000002
      "HKeyRoot"=dword:80000001
      "HelpID"="shell.hlp#51105"
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
      "Type"="checkbox"
      "Text"="@shell32.dll,-30508"
      "WarningIfNotDefault"="@shell32.dll,-28964"
      "HKeyRoot"=dword:80000001
      "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
      "ValueName"="ShowSuperHidden"
      "CheckedValue"=dword:00000000
      "UncheckedValue"=dword:00000001
      "DefaultValue"=dword:00000000
      "HelpID"="shell.hlp#51103"
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
      @=""

      具体操作方法：
      1）通过记事本新建一个文件
      2）将以上内容复制到新建的记事本文件中
      3）通过记事本文件菜单另存为show.reg（PS：大概是原作者的笔误，应该是Showall.reg，害偶在这上头浪费了N个小时）
      4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。

这个该死的，另存为“show.reg”和“showall.reg”搞得我晕头转向。终于解决了这个问题。心想：隐藏的出来了，可是病毒还在吧？于是想到了咔吧，上网吧下载了一个（一时头晕，居然下载了一个网络版的……离线包好难找啊，多是个人版的升级包），用离线包升级到了2006.12.28，开始杀毒……找到病毒若干：

感染: 病毒 Worm.Win32.VB.el C:\sal.xls.exe 48 KB
感染: 病毒 Worm.Win32.VB.el G:\sal.xls.exe 48 KB
感染: 病毒 Worm.Win32.VB.el I:\sal.xls.exe 48 KB
感染: 病毒 Worm.Win32.VB.el c:\sal.xls.exe 48 KB
感染: 病毒 Worm.Win32.VB.el C:\WINDOWS\system32\algssl.exe 48 KB
感染: 病毒 Worm.Win32.VB.el C:\WINDOWS\system32\msime80.exe 48 KB
感染: 病毒 Worm.Win32.Delf.aj c:\windows\system32\wincfgs.exe 46 KB
感染: 病毒 Worm.Win32.VB.el H:\sal.xls.exe 48 KB
感染: 病毒 Worm.Win32.VB.el F:\sal.xls.exe 48 KB
感染: 病毒 Worm.Win32.VB.el C:\WINDOWS\system32\msfir80.exe 48 KB
感染: 病毒 Worm.Win32.VB.el J:\sal.xls.exe 48 KB
感染: 病毒 Worm.Win32.VB.el Q:\sal.xls.exe 48 KB
感染: 病毒 Worm.Win32.VB.el algssl.exe\algssl.exe 48 KB

偶居然天真的以为：“病毒都找到了，这下可好了”。于是偶就在喀吧的提示下做了这个操作（清除不掉的删~现在看来真是轻率啊~~咔吧还是备份了一个，偶倒是不清楚是不是该还原……）：

已删除: 病毒 Worm.Win32.Delf.aj 文件: c:\windows\system32\wincfgs.exe/UPX
已删除: 病毒 Worm.Win32.VB.el 文件: C:\sal.xls.exe
已删除: 病毒 Worm.Win32.VB.el 运行模块: algssl.exe\algssl.exe
未发现: 病毒 Worm.Win32.VB.el 文件: C:\WINDOWS\system32\algssl.exe
已删除: 病毒 Worm.Win32.VB.el 文件: C:\WINDOWS\system32\msime80.exe
已删除: 病毒 Worm.Win32.VB.el 文件: C:\WINDOWS\system32\msfir80.exe
已删除: 病毒 Worm.Win32.VB.el 文件: I:\sal.xls.exe
已删除: 病毒 Worm.Win32.VB.el 文件: G:\sal.xls.exe
已删除: 病毒 Worm.Win32.VB.el 文件: J:\sal.xls.exe
已删除: 病毒 Worm.Win32.VB.el 文件: H:\sal.xls.exe
已删除: 病毒 Worm.Win32.VB.el 文件: F:\sal.xls.exe
已删除: 病毒 Worm.Win32.VB.el 文件: Q:\sal.xls.exe

然后是：双击硬盘却无法打开，告诉你：“无权限打开”（记不清楚了，大概是这个意思）然后咔吧提示找到病毒Worm.Win32.VB.el，不能清除，偶就直接删了……完了双击硬盘分区弹出一个表格来“选择你想用来打开此文件的程序”昏死~~~好在右键还能打开。隐藏文件找到了。可这边新伤又来了~~还要人活吗？
后来又百度了一下，发现这个~：

蠕虫名称：Worm.Win32.Delf.aj（AVP）
蠕虫别名：Trojan.Spy.UsbSpy.a（瑞星）、TrojanSpy.USBSpy.a（江民）
蠕虫大小：47,104字节
加壳方式：UPX
MD5：07adddef653a702b9a11edbcee07e82b
CRC32：100A382A
[发作现象]：
电脑开机时会自动弹出记事本，会生成wincfgs.exe、KB20060111.exe等文件
[行为分析]：
1. 在注册表中创建USBSpyRunMutex互斥量，避免重复感染。
2. 在系统中生成
C:\%system%\wincfgs.exe（系统、隐藏、只读属性）
C:\%WINDOWS%\KB20060111.exe（大小66,560 字节，非病毒，是记事本程序）
3. 在注册表中添加：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load＝“C:\windows\system32\wincfgs.exe”
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf，在这个目录下生成autorun.exe、desktop.ini。
autorun.inf的内容：
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe

autorun.exe同wincfgs.exe
desktop.ini的内容：
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可见，当含有病毒的移动设备接入电脑时，蠕虫会被自动运行。
开机弹出的记事本便是这个KB20060111.exe文件了，诱发这个KB20060111.exe的启动可能不是常规启动项，而是wincfgs.exe这个文件启动（呼叫）KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身，其实KB20060111.exe就是一个记事本程序（这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故）。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。
[修改办法]
1、修改注册表
a.运行“regedit”启动注册表编辑器；
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
3移动存储设备：
连接好USB后，打开我的电脑，点右键选择打开（不要直接点击打开或点“open”）,然后打开菜单栏的"工具"->"文件夹选项"->"查看"，去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini，wincfgs.exe和autorun.inf
移动硬盘的手动删除每个盘符下面的desktop.ini，wincfgs.exe和autorun.inf文件。。
还有个方便的方法 批处理删除注册表修改：
复制下面文字到记事本，另存为“Wincfgs_kill.bat”（注意保存时选择文件类型为“所有文件”）
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
然后运行,完毕后重启电脑

于是还原了咔吧的备分病毒文件……（头脑一直发晕，也不知道是不是该还原@_@!~~管他尼，死就死了~~有比偶厉害的叔叔阿姨大哥大姐弟弟妹妹别笑话，菜鸟就是这个样子，米做对的地方言语一声，偶这先谢个了哈~）用了上面的批处理方法~，在中途，咔吧一直在发现病毒Worm.Win32.Delf.aj和他的兄弟wrom.win32.vb.el，偶一路放行~呵呵。现在双击硬盘分区，发现还是进不去，告诉偶：“这不是有效的win32文件”~~想起百度到的一堆资料：

wrom.win32.vb.el
这是一个蠕虫病毒
对于Auto病毒，你试试下面的办法
在资源管理器里选择“工具－－文件夹选项－－查看”，勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。
1 如果各分区根目录下除autorun.inf外还有什么其它隐藏文件，有的话，记下名字然后将它删除（如果能删除的话）。右击这个Autorun.inf文件，选择用记事本打开，查看里面的内容，记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。
2.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。
3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。
4.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。
5.以记下的、Open后面的这些文件的文件名搜索整个注册表，删除搜索到的键值。
6.重启电脑。
如果这样操作以后，出现双击分区不能打开分区的情况，请按下面的操作即可。
打开我的电脑 工具 文件夹选项 文件类型 找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”（这个可随意填写） 用于执行操作的应用程序里填写explorer.exe 确定
随后返回到“编辑文件类型”窗口，选中open 设为默认值 确定 现在再打开分区看下，是不是已恢复正常？

偶是菜鸟，注册表偶是天痴-________-|||“冰刃”偶米下下来~偶这网太慢（单位的服务器老是被攻击），后来用了“Kill_AutoRun_1.2”，在“Kill_AutoRun_1.2”运行的当时，咔吧也在一直报毒，偶还是全部放行……完成以后，重启……
双击硬盘分区~OK！全部能打开了~~！
偶这个菜鸟又开始天真了~~想起了隐藏的文件（内容保密）:P
双击打开硬盘分区的感觉真爽啊~~！打开隐藏文件的文件夹，偶是当头一盆冰水啊~~~隐藏的文件居然又失踪了~不得已，又运行了自制的“showall.reg”文件，再设，好了，又出来了~~重新启动计算机，隐藏文件还在！问题彻底解决了，偶笑了，哈哈~看来这两只蠕虫其中一只造成了隐藏文件的消失，并且都有造成双击不能打开硬盘分区的能力。
跌跌撞撞的，总算没有捅出大篓子来……偶用的方法肯定是走了弯路的吧？大家不要笑话偶了，菜鸟也是要成长的，还请各位朋友帮忙指点指点，趁热打铁，进一步提高本人与病毒的战斗力。毛主席说：“人与人斗，其乐无穷；人与天斗，其乐无穷。”偶说：“人与病毒斗，其乐无穷”。（说这个话的时候，战战兢兢，两腿发软，底气不足，心中暗暗祈祷……千万不要再找上偶……）

[ 本帖最后由 ALEXBLAIR 于 2007-1-8 19:44 编辑 ]

jimmyleo

大家最初都是菜鸟啊

好文章~