论文部分内容阅读
隐藏的文件为什么都看不到了?不管是在“文件夹选项”,还是在注册表中,修改都没有效果。如果是这样,就打开“任务管理器”检查一下有没有sxs.exe或者svohost.exe,如果有,那就是它在搞鬼了。
怎么证明是它搞的鬼?
1.系统、隐藏文件无法显示。
2.双击盘符无反映,如果没有被清除的话,则双击盘符就又执行恶意程序一次。
3.“任务管理器”中有sxs.exe或者svohost.exe(冒充系统进程svchost.exe)进程。
4.杀毒软件实时监控自动关闭并无法打开。
手工清除恶意程序,显示隐藏文件
第1步 关闭恶意程序进程。使用“Ctrl+Alt+Del”打开“任务管理器”,在进程列表中查找“sxs.exe”或“SVOHOST.exe”,如果有就强制结束进程。
第2步 显示隐藏的系统文件。运行regedit.exe打开“注册表编辑器”,展开分支[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\explorer\Advanced\Folder\Hidden\SHOWALL],在右侧窗格中将CheckedValue键值修改为“1”。注意此处正确的CheckedValue键值应该是“DWORD值”,恶意程序有可能将它删除并新建一个无效的“字符串值”的CheckedValue,因此直接修改键值不一定有效,还要检查键值类型是否正确。
第3步 恢复键值类型。删除假冒的Checked Value键值,在右侧窗格空白处右击,选择“新建→DWORD值”,并将它命名为Checked Value,键值修改为“1”。重启之后,就可以在文件夹选项中选择“显示所有隐藏文件”和“显示系统文件”了。
第4步 清除恶意程序。右击盘符打开各个盘符的根目录,将各根目录下的“autorun.inf”和“sxs.exe”文件删除。然后再次打开“注册表编辑器”,展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run],在右侧窗格中找到“Sound Mam”键值,确认其键值为“C:\Windows\system32\SVOHOST.exe”后删除此键值。最后到“C:\Windows\system32”目录下删除SVOHOST.exe或sxs.exe。重启后,虽然杀毒软件可以正常打开了,但是自动运行可能会有问题,建议用“添加删除程序”中的修复项恢复一下杀毒软件的组件。
一个键值让文件在重启过程中替换
卢侨生
大家都知道,在Windows里,正在使用的文件是无法删除或者替换的,这些操作只会被告知“文件正在被占用,无法删除”,不过如果那样的话,系统文件在一启动的时候就被占用,Windows Update更新程序又是怎么替换这些文件的呢?其实,乾坤全在注册表的一个小小键值中。
多数需要修改系统文件的安装程序,都会在系统重启前向注册表的“自动替换项”中写入键值,具体位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]下的“PendingFileRenameOperations”项(见图)。
这是Windows 2000/XP需要在重启过程中替换或修改正在使用的文件用到的键值,即当系统要在重启时替换或修改正在使用的文件,就会写入此键值,第一行“\??\C:\abc”中“abc”就是替换前的文件,后一行的“!\??\C:\Windows\abc”表示替换后的文件。通常在安装驱动、软件时,需要修改系统文件时才会建立此键值,而平时是没有的。利用此机制可以替换正在使用的文件,以此修复损坏的系统文件,或者将eXeScope修改过的程序文件替换为原有的文件(替换系统文件可能要关闭系统文件保护,可利用XPLite等工具)。而木马也可能利用此键值来替代正常的系统文件,从而金蝉脱壳死而复生。
怎么证明是它搞的鬼?
1.系统、隐藏文件无法显示。
2.双击盘符无反映,如果没有被清除的话,则双击盘符就又执行恶意程序一次。
3.“任务管理器”中有sxs.exe或者svohost.exe(冒充系统进程svchost.exe)进程。
4.杀毒软件实时监控自动关闭并无法打开。
手工清除恶意程序,显示隐藏文件
第1步 关闭恶意程序进程。使用“Ctrl+Alt+Del”打开“任务管理器”,在进程列表中查找“sxs.exe”或“SVOHOST.exe”,如果有就强制结束进程。
第2步 显示隐藏的系统文件。运行regedit.exe打开“注册表编辑器”,展开分支[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\explorer\Advanced\Folder\Hidden\SHOWALL],在右侧窗格中将CheckedValue键值修改为“1”。注意此处正确的CheckedValue键值应该是“DWORD值”,恶意程序有可能将它删除并新建一个无效的“字符串值”的CheckedValue,因此直接修改键值不一定有效,还要检查键值类型是否正确。
第3步 恢复键值类型。删除假冒的Checked Value键值,在右侧窗格空白处右击,选择“新建→DWORD值”,并将它命名为Checked Value,键值修改为“1”。重启之后,就可以在文件夹选项中选择“显示所有隐藏文件”和“显示系统文件”了。
第4步 清除恶意程序。右击盘符打开各个盘符的根目录,将各根目录下的“autorun.inf”和“sxs.exe”文件删除。然后再次打开“注册表编辑器”,展开[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\Run],在右侧窗格中找到“Sound Mam”键值,确认其键值为“C:\Windows\system32\SVOHOST.exe”后删除此键值。最后到“C:\Windows\system32”目录下删除SVOHOST.exe或sxs.exe。重启后,虽然杀毒软件可以正常打开了,但是自动运行可能会有问题,建议用“添加删除程序”中的修复项恢复一下杀毒软件的组件。
一个键值让文件在重启过程中替换
卢侨生
大家都知道,在Windows里,正在使用的文件是无法删除或者替换的,这些操作只会被告知“文件正在被占用,无法删除”,不过如果那样的话,系统文件在一启动的时候就被占用,Windows Update更新程序又是怎么替换这些文件的呢?其实,乾坤全在注册表的一个小小键值中。
多数需要修改系统文件的安装程序,都会在系统重启前向注册表的“自动替换项”中写入键值,具体位置为[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]下的“PendingFileRenameOperations”项(见图)。
这是Windows 2000/XP需要在重启过程中替换或修改正在使用的文件用到的键值,即当系统要在重启时替换或修改正在使用的文件,就会写入此键值,第一行“\??\C:\abc”中“abc”就是替换前的文件,后一行的“!\??\C:\Windows\abc”表示替换后的文件。通常在安装驱动、软件时,需要修改系统文件时才会建立此键值,而平时是没有的。利用此机制可以替换正在使用的文件,以此修复损坏的系统文件,或者将eXeScope修改过的程序文件替换为原有的文件(替换系统文件可能要关闭系统文件保护,可利用XPLite等工具)。而木马也可能利用此键值来替代正常的系统文件,从而金蝉脱壳死而复生。