查杀木马文件夹被隐藏如何恢复
首先,硬盘不要再写入任何文件,有条件最好拆下硬盘,找一台装好杀毒软件的电脑挂载上去,然后安装EasyRecovery(绿盟有下载,这个你就别偷懒了,摆渡一下吧)到那台电脑的硬盘上(注意不要安装到误删数据的硬盘上),然后用这个软件进行磁盘扫描,并确认恢复类型的文件进行恢复~ 如果误删数据的硬盘没有写入任何新数据的话是绝对能够恢复的,如果已经写过数据只有靠运气了,呵呵
如何恢复被木马软件隐藏的文件。
运行regedit HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1把类型为REG_SZ的CheckedValue先删除 然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1这样该可以了 再不行就不会了
我电脑中了不知道什么病毒,把所有文件夹隐藏了,文件夹总是会生成....
参看下边的解决思路结合自己经验说明一下如何去除shitmaker22.exe2008-01-23 16:48单位同事电脑中毒,表现现象为,注册表被禁用,任务管理器被禁用,不能显示隐藏文件.双击进入盘符内任一文件夹360安全卫士会跳出警告框,提示安全进程.解决方法:360扫描木马,无果.扫描恶意程序,发现有机器狗,杀不掉.在高级功能选项里选择修复IE,解决注册表被禁用的问题.然后修改注册表,将禁显隐藏文件去掉.进入各盘符后,发现每个盘符下都有相同的两个文件夹图标.一个为隐藏的,一个是正常的.检查属性发现正确的文件夹为隐藏的.而显示为正常的同名文件夹实则为一EXE文件,有着文件夹的图标.文件属性里显示源文件名为"shitmaker22.exe",修改日期为2007-11-26,大小为58KB.每个盘符下都是同样现象,所有显示正常的文件夹全部为假冒的EXE文件,大小一致,日期一致.如果双击的话,会在各盘符内生成fun.xls.exe病毒文件.将fun.xls.exe和所有的假冒文件夹的EXE文件全部删除后,在CMD模式下,进入各盘符,运行 attrib -s -h *.* /s /d 将所有隐藏的文件夹属性全部更改回来.做这一步是因为所有的文件夹无法通过右键属性来修改隐藏属性,此属性为灰色,不可修改.通过以上的命令可以修复文件夹的隐藏.至此,可以解决一打开文件夹就会重复感染的问题.baidu上搜了一下,对这个shitmaker22.exe的描述不是很多,所以把修复过程贴上来,希望可以帮到一些人.说明一下,我维护过的所有机器都会在各盘符下建立autorun.inf文件夹,里面放入一个大小不为零的任意文件,以起到免疫autorun病毒的目的.实践使用中的效果还是不错的.像本例中的病毒建立fun.xls.exe文件时,实际上应该也同时建立autorun.inf文件,并修改磁盘盘符打开的方式以起到双击盘符来运行自身的目的.但因盘符根目录下已存在autorun.inf文件名,更不能建立自动运行的路径.而本例中中毒则实际是欺骗用户双击假冒文件夹的病毒文件来达到运行及自我复制的目的.
u盘杀毒后,一些文件被隐藏了,如何修复此类文件?
您好1,通过标题栏文件——文件夹选项——显示隐藏文件和文件夹,看看是否能够让文件正常显示出来。
2,如果不行的话就到电脑管家官网下载一个电脑管家。
3,使用电脑管家的杀毒功能再扫描一遍U盘,看是否有残余木马病毒在作怪。
4,如果U盘无重要文件,就通过电脑管家——软件管理——软件仓库,下载一个U盘修复工具,对您的U盘重新量产一下。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
杀毒软件被屏蔽
AV终结者 “AV终结者”病毒运行后会在本地磁盘和移动磁盘中复制病毒文件和anuorun.inf文件,当用户双击盘符时就会激活病毒,即使是重装系统也是无法将病毒彻底清楚的。
这是目前很多病毒热衷的传播方法,不少用户也懂得删除病毒生成的anuorun.inf文件,但是当我们进入“文件夹选项里”,想显示隐藏文件时,可以发现这里已经被病毒给禁用了。
。
“AV终结者”设计中最恶毒的一点是,用户即使重装操作系统也无法解决问题:格式化系统盘重装后很容易被再次感染。
用户格式化后,只要双击其他盘符,病毒将再次运行。
“AV终结者”会使用户电脑的安全防御体系被彻底摧毁,安全性几乎为零。
它还自动连接到某网站,下载数百种木马病毒及各类盗号木马、广告木马、风险程序,在用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。
针对杀毒软件的攻击,是“AV终结者”的特点。
病毒会终止大部分的杀毒软件和安全工具的进程。
国内绝大多数的杀毒软件和安全工具都被列入了黑名单。
当杀毒软件暂时失去作用时,病毒就会乘胜追击,通过一种“映象劫持”技术将杀毒软件彻底打入死牢。
病毒解决方案 方法一: 因为这个病毒会攻击杀毒软件,已经中毒的电脑杀毒软件没法正常启动,双击没反应,因而这时无法用杀毒软件来清除;利用手动解决也相当困难,并且,AV终结者是一批病毒,不能简单的通过分析报告来人工删除。
推荐的清除步骤如下: 1. 在能正常上网的电脑上到http://zhuansha.duba.net/259.shtml 下载AV终结者病毒专杀工具。
2. 在正常的电脑上禁止自动播放功能,以避免通过插入U盘或移动硬盘而被病毒感染。
禁止方法参考方案附件: 把AV终结者专杀工具从正常的电脑复制到U盘或移动硬盘上,然后再复制到中毒的电脑上。
3. 执行AV终结者专杀工具,清除已知的病毒,修复被破坏的系统配置。
(注:AV终结者专杀工具的重要功能是修复被破坏的系统,包括修复映像劫持;修复被破坏的安全模式;修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。
) 4. 不要立即重启电脑,然后启动杀毒软件,升级病毒库,进行全盘扫描。
以清除木马下载器下载的其它病毒。
方法二: 去黑联盟或黑客动画吧,下载一个AV生成器,运行后(注意别单击生成),选“卸载本地服务端”。
[编辑本段]手动清除办法 1.到网上下载IceSword工具,并将该工具改名,如改成abc.exe 名称,这样就可以突破病毒进程对该工具的屏蔽。
然后双击打开IceSword工具,结束一个8位数字的EXE文件的进程,有时可能无该进程。
2.利用IceSword的文件管理功能,展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下,删除2个8位随机数字的文件,其扩展名分别为:dat 和dll 。
再到%windir%\help\目录下,删除同名的.hlp或者同名的.chm文件,该文件为系统帮助文件图标。
3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件,注意,不要直接双击打开各个硬盘分区,而应该利用Windows资源管理器左边的树状目录来浏览。
有时电脑中毒后可能无法查看隐藏文件,这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。
4.利用IceSword的注册表管理功能,展开注册表项到: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],删除里面的IFEO劫持项。
当完成以上操作之后,就可以安装或打开杀毒软件了,然后升级杀毒软件到最新的病毒库,对电脑进行全盘杀毒。
(手动清除办法由江民反病毒专家提供 我的电脑也曾中过此毒,不过我没用上面的方法,太繁琐了,我用了一个很简单的方法就把问题解决了。
1、下载个360顽固木马专杀大全(最有效的专杀)。
由于病毒的原因,你的电脑无法下载此程序,你只有借助u盘从别人的电脑上下载或通过朋友把此小程序改名后发给你,解压后运行就行,大概要杀死2、3个木马 2、这时,你的杀毒软件可能恢复,不过要不是卡巴的话建议你卸载,安装最新的卡巴,卡巴试用本就行,升级后全盘杀毒,肯定杀死病毒。
3、执行了1、2步之后,你的电脑肯定完好无损,能够正常运行。
电脑中的文件被病毒感染隐藏了如何恢复
电脑中的文件被病毒感染隐藏需要设置电脑显示隐藏文件,然后取消电脑文件的隐藏属性。
设置电脑显示隐藏文件的方法如下:1、在桌面左键双击“计算机”打开计算机文件界面;2、在打开的界面中找到左上角“组织”选项,左键单击弹出下拉框;3、在弹出的下拉框中找到“文件夹和搜索选项”,左键单击;4、在弹出的窗口上方选择“查看”,左键单击切换到“查看”界面;5、在“查看”界面下选择“高级设置”中的“显示隐藏的文件、文件夹和驱动器”,左键单击;6、左键单击窗口右下角的“应用”按钮;7、左键单击窗口下方“确定”按钮,电脑中隐藏的文件就设置为可见了;设置电脑中的隐藏文件为可见之后找到隐藏文件按如下方法操作即可恢复正常:1、左键单击选中要恢复的隐藏文件;2、单击鼠标右键,在弹出菜单中左键单击选择“属性”;3、在弹出窗口下方找到“属性”区域,取消选择“隐藏”属性,然后单击右下角的“确定”按钮即可。
我电脑用360杀完毒重启后硬盘里面东西全被隐藏了,但是我无法修改...
上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己亲自动手来用系统自带的工具绞杀病毒: 一、自己动手前,切记有备无患——用TaskList备份系统进程 新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入Windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。
在命令提示符下输入: TaskList /fo:csvg:zc.csv 上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用Excel打开该文件. 二、自己动手时,必须火眼金睛——用FC比较进程列表文件 如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令: TaskList /fo:csvg:yc.csv 生成一个当前进程的yc.csv文件列表,然后输入: FC g:zccsv g:yc.csy 回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。
三、进行判断时,切记证据确凿——用Netstat查看开放端口 对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。
在命令提示符下输入:Netstat -a-n-o 参数含义如下: a:显示所有与该主机建立连接的端口信息 n:显示打开端口进程PID代码 o:以数字格式显示地址和端口信息 回车后就可以看到所有开放端口和外部连接进程,这里一个PID为1756(以此为例)的进程最为可疑,它的状态是“ESTABLISHED”,通过任务管理器可以知道这个进程就是“Winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接! 连接参数含义如下: LISTENINC:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有TCP协议的服务端口才能处于LISTENINC状态。
ESTABLISHED的意思是建立连接。
表示两台机器正在通信。
TIME-WAIT意思是结束了这次连接。
说明端口曾经有过访问,但访问结束了,用于判断是否有外部电脑连接到本机。
四:下手杀毒时,一定要心狠手辣——用NTSD终止进程 虽然知道 “Winion0n.exe”是个非法进程,但是很多病毒的进程无法通过任务管理器终止,怎么办? 在命令提示符下输入下列命令: ntsd –c q-p 1756 回车后可以顺利结束病毒进程。
提示:“1756”为进程PID值,如果不知道进程的ID,打开任务管理器,单击“查看→选择列→勾上PID(进程标识符)即可。
NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。
五、断定病毒后,定要斩草除根——搜出病毒原文件 对于已经判断是病毒文件的“Winion0n.exe”文件,通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”,找到该文件的藏身之所,将它删除。
不过这样删除的只是病毒主文件,通过查看它的属性,依据它的文件创建曰期、大小再次进行搜索,找出它的同伙并删除。
如果你不确定还有那些文件是它的亲戚,通过网络搜索查找病毒信息获得帮助。
六、清除病毒后一定要打扫战场 手动修复注册表虽然把病毒文件删除了,但病毒都会在注册表留下垃圾键值,还需要把这些垃圾清除干净。
1、用reg export备份自启动。
由于自启动键值很多,发现病毒时手动查找很不方便。
这里用reg export 批处理命令来备份。
启动记事本输入下列命令: reg export HKLMsoftwareMicrosoftWindows CurrentVersionRun fo:hklmrun.reg reg export HKCUSoftwareMicrosoftWindows CurrentVersionPoliciesExplorerRun f:hklcu.reg reg export HKLMSOFTWAREMicrosoftWindows CurrentVersionPoliciesExplorerRun hklml.reg 注:这里只列举几个常见键值的备份,其它键值请参照上述方法制作。
然后将它保存为ziqidong.bat在命令提示符下运行它,即可将所有自启动键值备份到相应的reg文件中,接着再输入: copy f:*.reg ziqidong.txt 命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中,这样如果发现病毒新增自启动项,同上次导出自启动值,利用上面介绍的FC命令比较前后两个txt文件,即可快速找出新增自启动项目。
2、用reg delete删除新增自启动键值。
比如:通过上面的方法在[HKER_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionRun],找到一个“Logon”自启动项,启动程序为“c:windowswinlogon.exe”,现在输入下列命令即可删除病毒自启动键值:reg delete HKLMsoftwareMicrossoftWindows CurrentVersionRun /f 3、用reg import恢复注册表。
Reg de-lete删除是的是整个RUN键值,现在用备份好的reg文件恢复即可,输入下列命令即可迅速还原注册表:reg import f:hklmrun.reg 上面介绍手动杀毒的几个系统命令,其实只要用好这些命令,我们基本可以KILL掉大部分的病毒,当然平...
转载请注明出处51数据库 » 查毒软件 隐藏了文件