[原创] 病毒残留行为的解决方案 相关搜索: 方案, 行为

明风和尚

目录：
2楼 解决注册表被锁死  病毒的流氓行为之一
3楼 解决不能显示隐藏文件 病毒保护自己文件的一种不太高明的手段
4楼 IFEO 这个是最近病毒比较爱利用的一种手段  具体的表现为 你想运行某个软件但是未运行（其实有可能运行病毒）但是只要改了名字就能正常运行
5楼 关闭自动播放  几乎现在的病毒都这么干  表现为双击无法打开 CDEF盘 只有靠右建才能打开（其实你已经又运行了一次病毒）
6楼 关闭系统共享的漏洞
7楼 修复无法进入安全模式
8楼 显示隐藏文件（完整版）
9楼  磁盘无法正常打开解决办法




PS：  1、希望会员可以及时补充，如果被采纳 ，我们将给与一定的论坛积分奖励！
         2、本帖不接受和此内容无关的回复，谢谢合作。

明风和尚

方法1：可以自己动手制作一个解除注册表锁定的工具，就是用记事本编辑一个任意名字的.reg文件，比如recover.reg，内容如下：

　　　　REGEDIT4

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

　　"DisableRegistryTools"=dword:00000000

　　　　要特别注意的是：如果你用这个方法制作解除注册表锁定的工具，一定要严格按照上面的书写格式进行，不能遗漏更不能修改（其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可）；完成上述工作后，点击记事本的文件菜单中的“另存为”项，文件名可以随意，但文件扩展名必须为.reg（切记）,然后点击“保存”。这样一个注册表解锁工具就制作完成了，之后你只须双击生成的工具图标，其会提示你是否将这个信息添加进注册表，你要点击“是”，随后系统提示信息已成功输入注册表，再点击“确定”即可将注册表解锁了。

　　方法2：

　　＜HTML＞

　　＜head＞

　　＜TITLE＞解开注册表＜/TITLE＞

　　＜meta name="keywords" content="注册表,恶意代码,修改注册表"＞

　　＜meta name="description" content="Robonic修改,QQ:10000022,www.J3J4.com"＞

　　＜/head＞
＜SCRIPT＞

　　document.write("＜APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent＞＜/APPLET＞");

　　function a(){

　　try

　　{

　　b=document.applets[0];

　　b.setCLSID("{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}");

　　b.createInstance();

　　c = b.GetObject();

　　try

　　{

　　c.RegDelete("HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\");

　　c.RegDelete("HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\");

　　}

　　catch(e)

　　{}

　　}

　　catch(e)

　　{}

　　}

　　function d()

　　{

　　setTimeout("a()", 1000);

　　}

　　d();

　　＜/SCRIPT＞

　　＜OBJECT id=closes type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"＞

　　＜param name="Command" value="Close"＞

　　＜/object＞

　　＜input type="button" value="解开注册表" onclick="closes.Click();"＞

　　＜/HTML＞

　　存为HTM文件，打开就可以了~~~

　　方法3：使用第三方工具恢复，如用超级兔子注册表魔法等.

明风和尚

打开“记事本”，复制如下内容：
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001


保存文件名：“显示被隐藏的文件.REG”，（确保在“文件夹选项”中去掉“隐藏已知文件类型的扩展名”），双击运行此文件，再重新到“文件夹选项”中设置显示隐藏文件。
也可以使用此工具

[ 本帖最后由 明风和尚 于 2007-5-20 20:20 编辑 ]

明风和尚

首先找到此在注册表中找到此项目
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
具体我们来举个例子
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
Debugger
C:\WINDOWS\system32\drivers\bingdu.exe  
这里我们可以看到有一个avp.exe原理我在这里就不多讲了 但是你运行了他之后不会运行avp.exe而是会转向运行bingdu.exe这个DD（注：bingdu.exe是我自己起的名字 它也可以指向其他产生的病毒文件）
可以手动删除添加的非法 IFEO 劫持项目，重启后即可。
原理参看此贴：http://pcz.5d6d.com/thread-392-1-1.html


解决办法：下载附件，运行即可。

明风和尚

关闭自动播放
如果你想一次全部禁用Windows XP的自动播放功能，可以使用组策略。

1、点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口；

2、在左栏的“本地计算机策略”下，打开“计算机配置_管理模板_系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”；

3、选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。

明风和尚

　首先确保以Administrator或Power Users组的成员身份登录系统，然后通过以下三个步骤清除共享的漏洞。
　　1).依次打开“开始菜单→控制面板→管理工具→服务”，找到“Server”服务，停止该服务，并且在“属性”中将“启动类型”设置为“手动”或“已禁用”。
　　2).修改注册表。依次打开“开始→运行”，输入regedit进入“注册表编辑器”，找到HEKY_LOCAL_MACHINESystem\CurrentControlSetServicesLanmanServerParamaters子键，在右侧的窗口中分别新建一个名为“AutoShareWks”和一个名为“AutoShareServer”的双字节键值，并且将值设置为“0”。
　　3).使用命令提示符下的“net share”命令也可以很好地消除这一隐患。打开Windows自带的记事本，输入如下内容:：
　　net share admin$ /del
　　net share ipc$ /del
　　net share c /del
　　接下来将该文件保存为一个扩展名为“bat”的批处理文件。最后，运用Windows的“任务计划”功能让该批处理文件在每次开机时都自动运行。
　　提示:如果还有其他盘使用了共享，如D盘，则在记事本中添加“net share d /del”即可。输入时不要忽略参数之前的空格。

明风和尚

高桥凉水

完整重新擦写注册表中关于隐藏文件项。

高桥凉水

1、依次打开“工具－文件夹选项－文件类型”在“已注册文件类型”中找到“驱动器”，再点击下方的“高级”，然后再单击“新建”按钮，在“操作”里填“open”，“用于执行操作的应用程序”里填写“explorer.exe %1”，返回到“编辑文件类型”窗口，选中“open”再单击“设为默认值”即可.

2、以上办法修复后的缺点就是双击驱动器会打开一个新的“资料管理器”窗口。为了防止这样的事情发生请运行regedit将注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shell]的键值设为open2改为1或是none就可以了。如果仍然无法解决接着尝试下面的办法。

3、
（1）.在“运行”中输入“regedit”，回车后打开注册表编辑器，定位到：HKEY_CLASSES_ROOT\Drive\shell，将shell下的全部内容删除。
（2）.在“运行”中输入“regedit”，回车后打开注册表编辑器，定位到：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\，将左边所有（每个都要检查以防遗漏）项目下的shell分支（如果有的话）全部删除，比如在“{ead14650-d693-11da-a6e1-00e04c8c3cf5}”下还有"shell"分支和下级分支，那么连"shell"分支一起删除。