TA的每日心情 | 难过 2011-8-29 07:55 |
---|
签到天数: 14 天 [LV.3]偶尔看看II
|
昨天晚上给同学修电脑,把主机抱来一看,原来是中了病毒,这个病毒呢,我一开始还没发现,只不过发现他的电脑没有杀毒软件,就先给他装了个卡巴斯基,没想到重启之后就报病毒,然后查出了很多,更可气的是,一打开一个磁盘,就会报病毒,这个解决起来很简单,直接用卡巴全盘杀毒就行了。
吃过晚饭回来,毒也杀完了,但是后遗症出现了。没打开一个盘就会出现打开方式的对话框,我想这个很多人都见过。这个问题也很容易解决。右键点击盘符就可以发现有两个“打开”,用第二个打开就能正常打开那个盘符了,那这样岂不是很麻烦?怎么去掉呢?出现这种情况一般都是病毒修改了注册表,我这里给大家做了一个注册表的导入文件,是第一个附件,修复磁盘打开方式.rar,解压缩之后将里面的reg文件导入。这里提供一下源代码,大家也可以自己复制到记事本里,保存为.reg的文件,双击导入就行了。
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Drive\shell] @="none"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
这样就解决了打开方式的问题。
可是,出乎意料的是,新的问题又来了,磁盘可以正常打开,但是文件咋都不见了?但是排除了被删除的可能,因为Windows和所有的软件都能正常使用。不用说,肯定是被隐藏了,于是我在地址栏里输入c:\Windows,很顺利地进入了Windows这个文件夹,看来是被隐藏了。那就先让他们都现身吧,我打开文件夹选项,勾选显示所有文件,然后点击确定。正等着所有文件全部现身呢,结果出乎我意料。还是没有,我再一次打开了文件夹选项,发现选项又回到原来的了。看来是病毒修改了注册表,锁定了这个选项。那我再给大家提供一个导入文件,是第二个附件showfile.rar,解压缩之后将showfile.reg导入就行了。源代码如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden] "Text"="@shell32.dll,-30499" "Type"="group" "Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00 "HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105"
这样成功解决了第二个问题,所有的文件已经全部现身了。那就该把所有被隐藏的文件的隐藏属性去掉了。谁知,我打开Windows文件夹的属性对话框,隐藏那个选项被勾上了,而且是灰色不可更改。怎么办呢?我没想到啥好办法,只想了一个比较麻烦的办法,就是在命令提示符下使用attrib这个命令去掉隐藏属性。attrib这个命令用过dos系统的人都应该知道,是文件属性的命令。于是我只能在命令提示符下使用attrib -h -a -r -s *(*代表文件夹的名称)一个一个地对文件夹属性进行更改。幸好这台电脑是新电脑,没啥东西,而且病毒只是对磁盘根目录下的文件属性进行更改,工作量还是比较小的。
喔,终于弄完了,看来这个病毒只不过恶搞一下,不过确实费了不少神。
[ 本帖最后由 大兴 于 2008-10-4 21:16 编辑 ] |
|