开着红伞,中了U盘病毒

2288136aa

上网找注册文件导回去就行了，如果手上有ICESWORD之类的工具也可以直接查看！

suhuihot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
  

    打开注册表，找到以上注册表项。发现checkvalue设置成了0。看正常电脑为1，自然改成1再说。再一次设置文件夹选项，显示所有文件夹，恢复正常。发现每个分区下都有几个隐藏文件，怪不得重装系统也没有用，而且连瑞星杀毒软件都无法安装!结束相关进程，把所有相关文件删除，右键恢复正常!原来是病毒文件搞的鬼，而且设置了系统，使用户无法显示隐藏的文件自然就看不到它自己，真是无孔不入!删除后安装杀毒软件一切正常也没有其他问题!问题虽然相当简单，但那几天有相当一部分客户拿来维修都是完全一样的问题，也不知道是不是新出现的什么东西!虽然对于搞电脑的人是最入门级的东西，但对普通用户也不是简单的问题!

   1   在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
下有两项：NOHIDDEN与SHOWALL，有人说是三项(98吧)，不过我自己的电脑只有此两项。NOHIDDEN自然是不显示隐藏文件，SHOWALL是显示所有文件。在两项下都有CheckedValue，DefaultValue值!
   上例即是更改了相关的注册表键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
的"CheckedValue"，
系统默认"CheckedValue"=dword:00000001，"DefaultValue"=dword:00000002，如果将 CheckedValue设置为0就会造成无法更改显示所有隐藏文件!正常情况可以将文件夹及文件属性设成隐藏，但具有初级知识的用户都知道去更改以显示隐藏文件，通过手工修改注册表，将showall下的checkdvalue设置为0防止普通用户查看，对于老鸟自然无任何用处!
2   将显示所有隐藏文件设为文件夹选项的默认值!至于DefaultValue值自然是默认值，我没有在微软查到此处具体每个值的含义，不过可以设置肯定会有 1,2或者也有0。如果将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]的"DefaultValue"设为 1应该是使其成为默认，你会发现在查看中选项恢复默认值的时候，两项都被选中了。如果想将显示所有隐藏文件设为默认值可以将NOHIDDEN的 DefaultValue设为1而将SHOWALL的DefaultValue也设为1!这样默认就是显示所有的隐藏文件!大家可以自己更改一下看一下具体效果。
3 总之遇到类似的问题大家可以看一下这里有没有被动过手脚!望路过注册表高手留下每一个值的详细设置!
4 网上看到的：更绝的是，利用注册表编辑器，我们可以将“查看”选项卡中的“隐藏文件”项下的三个单选按钮都隐藏掉。我们只需将上述“Hidden”下 “NOHIDDEN”、“NOHIDORSYS”、“SHOWALL”三个分支中的“Text”字符串键(注：Windows XP中该键的键值不同)的健值清除掉。这样，退出注册表编辑器后再进入“查看”选项卡，你就会发现“隐藏文件和文件夹”下面空空如也。任何人想要查看我们的个人文件就都是两个字——没门，因为这个地方根本没法选择！(将Hidden与NOHIDDEN两项删除，就什么都没有了，哈哈)

附：文件夹选项默认值：(XP系统，可以将以下文本保存为注册表文件导入注册表，以修复相关问题)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
   00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
   48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
   00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

balangyu

谢谢楼上的，刚才到网上找了下，修改了下注册表好了。单位的电脑只能上局域网不能上外网，几台电脑隔三差五中优盘移动硬盘病毒，没想到刚装的红伞也没挡住而且还加了个360也没防住

superax

原帖由 balangyu 于 2009-6-19 18:01 发表
我的意思是我有几个不公开的文件放在一个文件夹里，这个文件夹属性设成隐藏的，我要看时在文件夹选项里把显示所有文件和文件夹选中。现在中了优盘病毒这个选项失效了，红伞杀了一遍还是不行

不公开？莫非是…… H片

chongchongsteed

这个毒在我们学校的机子里也是很猖狂，不过可以用usbcleaner修复，另外，微点也测试成功了……

asinasina

双击之即可

balangyu

又发现个新问题，文件删除后，回收站找不到刚才删除的文件，显示空白。我用的是文件普通删除非永久删除，而且是小文件

DDHerO

楼主长个教训吧，以后把U盘自动运行关闭！

qongren

看来国产木马也开始关心红伞了

观棋不语

红伞使用的人多了.免杀也就多了.