我正在使用一台 Windows XP 计算机,不幸被恶意软件感染,几乎所有功能都无法使用。我能够使用离线工具(MS Defender Offline 等)清理计算机。虽然计算机是干净的,但我再也看不到任何文件,无法右键单击桌面,无法启动任务管理器等。我知道如何手动修复所有这些问题,包括设置文件属性和编辑注册表,但我希望能节省自己搜索每个问题的时间。更不用说当您取消隐藏和取消系统文件时可能发生的不必要的问题,这些文件不应该是可见的。是否有某种工具可以将注册表中的所有限制重置为默认值,并一次性取消隐藏那些不应该隐藏的文件?
答案1
对于隐藏文件:运行ATTRIB -h c:\*.* /s /d
。但它不会重置系统文件。然后我会运行 Malwarebytes AntiMalware 以使任务管理器、桌面和其他安全设置再次正常工作
答案2
在第 19 步中清理“系统修复”感染(隐藏所有内容)来自 Bleeping Computer:
19.此感染家族还会隐藏您计算机上的所有文件。要让您的文件再次可见,请将以下程序下载到您的桌面:
取消隐藏
下载完程序后,双击桌面上的 Unhide.exe 图标并运行程序。此程序将删除硬盘上所有文件的 +H(即隐藏)属性。如果您有意隐藏了某些文件,则需要在运行此工具后再次隐藏它们。
我已经使用过它并且它的效果与预期一致。
这是直接链接下载 Unhide.exe 时,请确保先删除所有感染/rootkit,否则可能会阻止其运行。:)
答案3
我会从这里开始恶意软件修复
我见过这种感染,即使使用了许多文章中提到的所有工具,每次感染都会导致格式化和重新安装。在一次感染中,我恢复了数据,而在另一次感染中,数据丢失了。
我从网上找到这个。我还没能尝试,也找不到来源了
•通常位于“所有用户”目录中。有时位于“所有用户”的根目录中,有时位于 \application data\temp 下,有时两者兼而有之。转到文件夹选项以显示所有文件和隐藏的 OS 文件以再次查看它们。这不会更改它们的“隐藏”值。稍后将在下面的属性中处理该问题。
•注册表项通常不存在。它似乎由“c:\windows\system32\shell32.dll”的恶意副本控制。将其重命名为 .old 以开始修复问题,否则每次重新启动它都会重新出现。你越快做这件事,似乎就越好。当你开始查看 \system32 目录结构时,它似乎触发了一些不寻常的活动……要么再次隐藏文件,要么传播其他木马。我在大约 5 到 7 秒内将 Jason 重命名,看起来没问题……
•启动程序名称(即 npl3749fqld.exe)和目录位置通常仅在“docs\all users\start menu\programs\startup”和 msconfig 中引用。在这里您将看到您的启动文件名“whatevername.ini”。编辑该文件以查看实际木马文件的位置和名称。编辑该文件似乎不会触发任何事情。我认为这只是启动时传播病毒的参考。
•找到位置信息后,操作与所有其他病毒一样。重命名。在注册表中搜索它。删除它。删除“所有用户”、“默认用户”、实际用户以及计算机上的任何其他配置文件的所有临时文件夹。此病毒将要为机器上的每个用户设置 whatevername.ini 文件。您必须清除它们全部包括临时文件。
•取消隐藏所有文件的属性是“attrib -s -h -rc:/。/s /d'。它将要需要一些时间才能运行,但必须在管理员帐户下运行,否则会失败。它可以在安全模式或正常启动下运行
•您可以在安全模式下运行 mssec 进行搜索,但必须手动完成,因为您的开始菜单项将被隐藏,直到重新启动,除非您确定,否则您不会想这样做。这很困难。
旁注... 如果在 c:\docs\users\all users\ 中看到一个名为“Microsoft Anti-Malware”或类似名称的文件夹,请将其删除。这不是 MS Anti-malware 产品。我不知道它是否与此病毒有关,但它在一个系统框中。反恶意软件的正确位置位于 c;|program files\microsoft security client\ 下,您还可以在此处找到 msseces.exe 文件,以便在重新启动之前进行病毒扫描。
答案4
这个免费工具帮我解决了这个问题。需要将其复制到隐藏文件的文件夹中。 https://sourceforge.net/projects/fixhiddenfilesmalware/