今天够郁闷了...
U盘带回来,插上后没报(估计我卡巴当时实时保护有点问题),直接一点...硬盘狂转...我知道完了..
后面症状到不是太担心 右件点盘符出现"Auto",任务管理器中多了"smss.exe",一些软件不可以用..,除了个别图标颜色变暗,其他到没什么..当时没在意,先任务管理器杀掉一个"smss.exe"(另一个关键进程杀不掉),重起一下,这是卡巴报了 trojan.win32.pakes.c. 病毒,程序为smss.exe,躲在windows\system32\com下,杀不掉,可以隔离...暂不管;开始想办法清理每个盘里面的文件,结果发现"显示隐藏系统文件"选项没有了,郁闷..
进DOS,DIR/A一查,每个盘多一个pagefile.sys 大概48K,修改了属性,del掉,重起进入,好象好了..
然后开注册表,修改 CheckedValue ,发现是1,没有问题..
这下晕了,不晓得怎么搞了..

现在卡巴有时还会报windows\system32\com有smss,删掉了不久又出现..;"显示隐藏系统文件"选项始终打不开,特来求救...

请下HIJACKTHIS扫描日志上传]
下载地址:http://free5.ys168.com/?aqfrs

扫描结果,谢谢

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      0:47:48, 日期 2007-1-30
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
d:\tools\tencent\qq\QQ.exe
d:\tools\tencent\qq\TIMPlatform.exe
D:\TOOLS\tencent\qq\QQ.exe
D:\TOOLS\tencent\TT\TTraveler.exe
C:\WINDOWS\system32\conime.exe
G:\downloads\HijackThis1[1].99.1\HijackThis1991zww.exe

O4 - 启动项HKLM\\Run: [KAVPersonal50] "D:\TOOLS\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] D:\TOOLS\FireWall\PFW.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\TOOLS\thunder 5\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\TOOLS\thunder 5\Program\GetAllUrl.htm
O15 - “受信任的站点”中添加项: easyabc.95599.cn
O15 - “受信任的站点”中添加项: www.95599.cn
O16 - DPF: {001290E5-CD10-4957-9D2B-FD2B74990219} (GovTifActiveX Control) - http://211.157.104.94/zljs/GovActive/GovTifActiveX.ocx
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://www.dean.swust.edu.cn/cfusion/resource/cabs/scriptx.cab
O16 - DPF: {1DABF8D5-8430-4985-9B7F-A30E53D709B3} (InstallHelper Class) - http://cache.tv.qq.com/qqlive_ocx/QQLiveInstaller.cab
O16 - DPF: {F2EB8999-766E-4BF6-AAAD-188D398C0D0B} (PBActiveX40 Control) - http://szdl.cmbchina.com/download/PB/pb50.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FF5DA5A-8D66-46FF-8FE6-3F7DD28F0956}: NameServer = 202.98.96.68,61.139.2.69
O17 - HKLM\System\CCS\Services\Tcpip\..\{A25EE723-C648-413F-899E-BCB04D46566F}: NameServer = 210.41.222.32
O17 - HKLM\System\CCS\Services\Tcpip\..\{D38A655D-4E01-4661-BB51-F11C0C6E2D17}: NameServer = 218.6.200.139 61.139.2.69
O23 - NT 服务: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: kavsvc - Kaspersky Lab - D:\TOOLS\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

修复以下:
O15 - “受信任的站点”中添加项: easyabc.95599.cn
O15 - “受信任的站点”中添加项: www.95599.cn
O16 - DPF: {001290E5-CD10-4957-9D2B-FD2B74990219} (GovTifActiveX Control) - http://211.157.104.94/zljs/GovActive/GovTifActiveX.ocx
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {1663ed61-23eb-11d2-b92f-008048fdd814} (MeadCo ScriptX Advanced) - http://www.dean.swust.edu.cn/cfusion/resource/cabs/scriptx.cab
该日志中为见有windows\system32\com\smss.exe

我现在把卡巴定位到 windows\system32\com 目录,过不了多久,手动扫下...发现就删..删不掉就隔离,隔离后再在卡巴中删...先控制到再说..

恩,你可以先下载SSM阻止该程序创建并运行

学习.见日志就看~~~~

目前看情况是控制到了,但病毒应该还没有根除...不知道如何处理..

目前已经控制,但"隐藏和显示系统文件夹"选项依然无法通过注册表打开...等待回答中..

郁闷,终于把注册表的问题解决了...

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

以上两个键值一般都会发现并修改,但修改后不行...后来发现下面这个键值才关键..

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

病毒把以上"Type"="checkbox" 改成了 "Type"="radio"造成"显示受保护的系统文件"选项没法出现

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""