瑞星卡卡安全论坛

有如题所述问题者，杀净病毒后，请将下列蓝字内容粘贴到记事本上，保存为Fix.reg。
然后，双击Fix.reg。重启系统后。瑞星监控即可正常加载，隐藏文件也可看到了。
【注】本例瑞星装在C盘；瑞星在D盘者，将"RavTask"="\"C:\\Program Files\\Rising\\Rav\\RavTask.exe\" -system"
改为"RavTask"="\"D:\\Program Files\\Rising\\Rav\\RavTask.exe\" -system"
；其余类推。
REGEDIT4


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RavTask"="\"C:\\Program Files\\Rising\\Rav\\RavTask.exe\" -system"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsRavMon]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RsCCenter]
"Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001

高

呵呵，对于懒人来说这是最好的办法，直接导入了，不用教他们如何改注册表了。

不错

好象不行啊,我试过了,原来关了监控都不会蓝屏的，可现在关不关都没用了,我只好还原系统到昨天,怎么回事?

引用:

【dtezyh的贴子】好象不行啊,我试过了,原来关了监控都不会蓝屏的，可现在关不关都没用了,我只好还原系统到昨天,怎么回事? ………………

注意本帖的“前提条件”——杀净病毒后

不杀毒，直接改？你没病毒改得快！

晕,我杀了一天的毒了,刚才升级18.39.41又杀了一遍,好象杀不干净一样,真是快烦死了

引用:

【dtezyh的贴子】晕,我杀了一天的毒了,刚才升级18.39.41又杀了一遍,好象杀不干净一样,真是快烦死了 ………………

如果只是“杀不干净”，而不是“有毒查不到”，请用瑞星2006光盘启动系统，在DOS下杀。

学习了
收下

我的监控全被禁用，怎么办啊

这么个病毒大名鼎鼎的瑞星就制不了他了？还用这么费事，我不会在DOS下杀毒怎么办？又有几个人会用DOS？弄得我好几天都不敢上QQ！看来这每月10元钱是白花了。我在安全模式下杀毒，提示把病毒删除了，用瑞星听诊器也查不到了。重启后瑞星监控打开了，可是接着又给关了，再用听诊器查，恼人的Trojan.PSW.LMir又出现了，监控变成一个打不开的小红伞，可怜我的瑞星啊！！！！可叹我那每月省吃俭用出来的10元钱啊！可悲的瑞星人啊！可气的是瑞星刚刚通过了国际权威认证！唉！！！！！！！！！！！！！！！！！！！！！

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
"CheckedValue"=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue"=dword:00000001
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
请问版主，我的这两项dword值都是2，必须得改成“1”才正常，是吗？

这个记事本是哪个记事本？随便一个word或是文本吗？（汗，我是超级菜鸟啦……对杀毒程序不清楚……）

楼主,我遇到的问题如你描述的一模一样啊!请教这是个什么病毒啊?
我按你说的对注册表进行了修改,现在监控是可以打开了,可是还是不能显示隐藏文件.郁闷中,请帮我想想办法!
HijackThis_815汉化版扫描日志 V1.99.1
保存于      6:38:12, 日期 2006-8-12
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwproxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Elantech\ktp.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\安装软件\Hijackthis1991zww\HijackThis1991zww.exe

O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [IgfxTray] ; C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [KTPWare] C:\Program Files\Elantech\ktp.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "d:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: 腾讯QQ.lnk = D:\Program Files\Tencent\QQ\QQ.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {098A3F72-3110-4004-B954-2F9DC44934B4} (AddSHCARoot Control) - http://www.koliao.com/BDC_Root_CA.cab
O16 - DPF: {448A5F6B-8C03-4B54-A338-F00237C508AD} (WEBChatRoomOCX Control) - http://www.51uc.com/cab/WEBChatRoom_1_46.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096088341547
O16 - DPF: {7253A666-8D4A-11D7-A4DC-00E04C504779} (BDC Control) - http://www.shuaigeliao.com/BDC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{870197E7-21CF-43D6-901D-31AA0CABCF2A}: NameServer = 202.96.128.68,202.103.176.22
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9AC2B8A-5B8F-460B-8551-8BA58A87B27E}: NameServer = 202.102.192.68 202.102.199.68
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

楼上的，我和你的问题是一样一样的。现在监控是可以打开了,可是还是不能显示隐藏文件.郁闷！！！
望楼主给予解决！！！

我晕死了~~~~~
我的监控坏了快一周了。在论坛上看了好多办法都没用。我都想重作系统了。现在我试了一下斑竹的办法，瑞星监控竟然起死回生了。我感动啊……啥也不说了………………
可见高手就是高手啊！
我再次表示感谢。希望和我一样的朋友都能看到！

我晕死了~~~~~
我的监控坏了快一周了。在论坛上看了好多办法都没用。我都想重作系统了。现在我试了一下斑竹的办法，瑞星监控竟然起死回生了。我感动啊……啥也不说了………………
可见高手就是高手啊！
我再次表示感谢。希望和我一样的朋友都能看到！

支持

小扇变绿了.可是点选显示所有文件及文件夹,应用后还是显示不出来,再看,选 的对勾根本没管用.

不是根本啊,瑞星的这一版不行啊,要赶紧出新版哦,虽然查得出Trojan.DL.Delf.cfx病毒但杀不干净,自文件还被修改,可见这一版不行啊,以前的版本查不出Trojan.DL.Delf.cfx这种病毒但该病毒也不修改瑞星的启动途径,显然有一点,Trojan.DL.Delf.cfx是针对18.39版瑞星出来的.强烈要求瑞星出升级版啊..............

还是不能显示隐藏的文件啊

最近，我中了Wincup.exe病毒，安装《关于"wincup.exe"与"aukld.exe"的分析...(修改)》帖子的方法，将其清除，但是，瑞星杀软和防火墙仍然不能加载。今天，安装楼主的办法则一举成功，真是万分感谢！

重装吧，养着病毒也没用，两天里我已经重装两次了……

没怎么注意这个....

等有问题了再用....

在DOS模式下输入如下： X:\\attrib -h -s -r  去掉他的隐藏只读属性 就可以在windows下打开里面的文件
据说这个也能解决，不过我没试过

为啥我还是不能用啊

要显示隐藏文件

在这个：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\

Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！这样你以为把0改为1就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。

正确的方法是：先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉CheckedValue（例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。

经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是  HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏，遇到这种情况，请在Windows XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。（备注：可是我手头上的XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法：找一部没有问题的电脑，把

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出（假如命名为1.reg）；然后备份有问题的电脑的该注册表分支；最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运！假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢！）

斑竹你好  我按照你的方法用了  瑞星监控系统可以 可隐藏的文件还是打不开？？？请问怎么办？？

【回复“sunchuan”的帖子】

看你楼上的帖子

引用:

【阿龍·CN的贴子】要显示隐藏文件 在这个：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1 还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！这样你以为把0改为1就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。 正确的方法是：先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉CheckedValue（例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。 经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是  HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏，遇到这种情况，请在Windows XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。（备注：可是我手头上的XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法：找一部没有问题的电脑，把 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出（假如命名为1.reg）；然后备份有问题的电脑的该注册表分支；最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运！假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢！） ………………

正是如此！！
谢谢阿龙，昨晚搞了一个晚上，就是不行，还来被病毒耍了！！