如何解决trojan.dl.html.spreader.a病毒的后遗症
我的机子中了木马之后,瑞星杀毒软件、防火墙还有暴风影音圈被删掉了,好多文件被挪动,还有文件夹选项被修改,无法浏览隐藏文件。除了c:盘,其余的D、E、F里边都有一个叫recycler和system volume information的隐藏文件夹,recycler文件夹里边的图标都是回收站的图标,而不是普通的文件夹图标,这是用瑞星的树状目录才能看到。系统进行了重装后,用修改注册表的方法把文件夹选项改回来可以显示隐藏文件后,windows下依然无法看到recycler这个文件夹,还是只能在瑞星杀毒时选择硬盘时的树状目录中可以看到。不知道这两个文件是不是torjan.dl.html.spreader.a病毒留下的?有没有害,怎么才能把它删掉?木马的名字叫:trojan.dl.html.spreader.a 经过我的进一步查找发现System Volume Information文件夹,并非是trojan.dl.html.spreader.a引起的,这是windows系统本身就有的一个文件夹,可称为“系统卷标信息”,存放的时系统还原的备份信息。
还原备份信息就是系统用快照方式存放的还原点信息,还原点分为两种,一种是系统每隔一段时间自动创建的还原点,另一种就是用户手动创建的还原点,所以,系统运行时间越长,还原点越来越多,这个文件夹就越大,系统就会提示硬盘空间不足。
这个文件夹是隐藏系统文件夹,所以“我的电脑——〉工具——〉文件夹选项——〉显示所有文件和文件夹”是不能将它显示出来。需要用文件夹的另一项将其显示,“我的电脑——〉工具——〉文件夹选项——〉隐藏受保护的操作系统文件(推荐)”,去掉这一项前边的勾勾即可显示此文件夹,windows professional/home edition双击此文件夹即可访问。
一般我们要是使用ghost进行备份以后,系统地这种还原点就不再需要了,如果留着这个文件夹相反会慢慢占用我们越来越大的磁盘空间,现在我们就看看怎么把它删掉。在“我的电脑(单击右键,选择属性)——〉系统还原选项卡——〉在所有驱动器上关闭系统还原——〉确定”,即可将System Volume Information文件夹删除。
另一个隐藏系统文件夹是argh.,这不是系统自带的,我以前没注意,后来才知道这是矮人工具箱dos安装时创建,这也不是由木马引起的,是用来存放ghost备份的,也是一键恢复的目录,这个文件夹不会对系统有任何影响,查看的方法与查看System Volume Information文件夹一样。如果卸载了矮人工具箱dos后,如果要将其删除,可用“开始菜单——〉运行——〉cmd ——〉rd /s x:\argh.”即可删除,x为盘符。
希望这些信息能对其它菜鸟有所帮助。
[[i] 本帖最后由 bluebird4167 于 2007-1-5 22:38 编辑 [/i]] 这个木马为了隐藏自己,把自己的属性设置为隐藏,同时也把“我的电脑——〉工具——〉文件夹选项”中的“显示隐藏文件项”从注册表中进行了删除,删除后,我的机子无论怎样都不能把隐藏的注册表选项显示出来,那木马文件就显示不出来。通过下边这段代码就可以把注册表项改过来,也就可以把文件夹选项中的“显示隐藏文件项”从注册表中改过来,这样就可以再次显示隐藏文件了。
针对木马引起的这种情况可将下边的文件存成showall.reg文件,然后双击改变即可。
[align=left][b][font=宋体][size=12pt][color=#000000]Windows Registry Editor Version 5.00[/color][/size][/font][/b][/align][align=left][b][font=宋体][size=12pt][color=#000000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"[/color][/size][/font][/b][/align][align=left][b][font=宋体][size=12pt][color=#000000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"[/color][/size][/font][/b][/align][align=left][b][font=宋体][size=12pt][color=#000000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"[/color][/size][/font][/b][/align][align=left][b][font=宋体][size=12pt][color=#000000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy][/color][/size][/font][/b][/align][b][font=宋体][size=12pt][color=#000000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""[/color][/size][/font][/b]
[b][font=宋体][size=12pt][color=#000000][/color][/size][/font][/b]
[font=宋体][size=12pt][color=#000000]操作步骤[/color][/size][/font]
[font=宋体][size=12pt][color=#000000][font=宋体][size=12pt]1[/size][/font][font=宋体][size=12pt])通过记事本新建一个文件。[/size][/font][/color][/size][/font]
[font=宋体][size=12pt][color=#000000][font=宋体][size=12pt]2)将以上内容复制到新建的记事本文件中。
3)通过记事本文件菜单另存为show.reg。
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。[/size][/font][/color][/size][/font]
[[i] 本帖最后由 bluebird4167 于 2007-1-8 21:01 编辑 [/i]]
已拜读,谢谢!
TKS! 不错哦 *** 作者被禁止或删除 内容自动屏蔽 ***页:
[1]
