相关帖子
http://bbs.cpcw.com/viewthread.php?tid=490298 1.注册表解所:运行--GPEDIT.MSC,打开组策略,依次进入用户配置\管理模板\系统,右边的 ”阻止访问注册表编辑工具‘,双击,禁止。就可以了。(可用WORD宏,INF文件 JAVA脚本解除)
2.解隐藏。依次点击窗口上方的“工具”菜单下的“文件夹”选项,在出现的显示所有文件和显示 系统文件,去掉隐藏受保护的文件前的勾,没有效果。应该是注册表中被修改为真正隐藏了。 用ULTRAEDIT-32编辑以下内容,保存为“破隐藏.reg,导入,再按显示所有文件,成功。(因为写字板,记事本都不能正常使用)
内容:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
3.去病毒程序。
a.曾尝试着进入文件夹中删除SMOHOST.TXT和hlop.exe。结果重启问题依旧。
b.看来不只这两个程序。再进入\WINDOWS\SYSTEM32下面认真查找,果然发现还有 lsasa.exe,commamd.exe两个程序,请认真看跟LSASS,COMMAND多象。把四个全部删除。 重启
c.重启想不到问题依旧,看来还有程序。于是我把这四个文件复制到别的地方,然后随便拿了四个文件改成这四个名字,重起出现错误提示:“commamd不是正常的WIN32程序”。(因为刚才我是随便拿了个文本文件改名成COMMAMD.exe)。 结果控制面板可以正确使用了。
D.虽然问题解决,但最终的源头没找到。应该有程序自启动调用了COMMAMD.exe程序。进入 注册表查找“commamd”果然发现了新大陆。
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的SHELL值为 Explorer.exe commamd.exe”,(winlogon设置用户登陆的环境,下面的值在系统启动时候必须启动,
而EXPLORER.EXE是用户界面,如桌面,任务栏等就是这个东东分配的),在EXEPLORER.EXE后面跟上程序就能在启动exeplorer.exe的时候同时启动。
e.终极大战。把上面的shell值改为exeplorer.exe。删除windows\system下把四个文件都删除。
建议使用IceSword工具结束SVOHOST进程,然后再用IceSword删除被深度隐藏的文件(IceSword能看到被深度隐藏的文件,有了它,第二步可以就可以用IceSword了)
