windata
2008-06-06, 01:08 PM
先把前因後果說清楚
1.我中毒了! ...srO
srosa.sys / hldrrr.exe / mdelk.exe
很神奇的…我找不到 wintem.exe (可能又是變種吧 = ="
2.開始解毒(當然,網路斷開
不到安全模式
kill hidden processes
by RotkitUnhooker
remove service
sc delete srosa
刪掉這些檔案與 downld 這個資料夾(名稱是憑印象的
檢視 System Volume Information 裡面有沒有奇怪的東西
(加入 everyone 存取控制,把裡面的檔案刪光光,移除 everyone 存取控制)
移除相關登錄資訊
ShellNoRoam \ MUICache
Run \
3.修復系統
這也是發這篇文的問題所在了
a 資料夾選項 / 隱藏保護的作業系統檔案 / disable → 無效,選項有確實的取消,而且不會再次 enable
b HKCU \ Software \ Mi... \ Win... \ CurrentVersion \ Explorer \ Advanced \
DWORD SuperHidden:1
個人目前的動作到這邊結束…
還是找不出修復的方法
有試過 kavo killer 之類的軟體,仍無法將該選項之功能啟用
雖然說…看不到,但還是進的去,而且是資料夾被視為系統資料夾
裡面的檔案並不是該類型,所以仍可大刀刪刪刪~
只是看不到 C:\Windows\System32\Drivers\ 感覺怪怪的…
煩請有經驗的人幫個忙 m(_._)m
以上!
=============================
最後是『自行』加入這段機碼與DWORD 才讓該選項生效的…
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll
DWORD checkedvalue= 1
1.我中毒了! ...srO
srosa.sys / hldrrr.exe / mdelk.exe
很神奇的…我找不到 wintem.exe (可能又是變種吧 = ="
2.開始解毒(當然,網路斷開
不到安全模式
kill hidden processes
by RotkitUnhooker
remove service
sc delete srosa
刪掉這些檔案與 downld 這個資料夾(名稱是憑印象的
檢視 System Volume Information 裡面有沒有奇怪的東西
(加入 everyone 存取控制,把裡面的檔案刪光光,移除 everyone 存取控制)
移除相關登錄資訊
ShellNoRoam \ MUICache
Run \
3.修復系統
這也是發這篇文的問題所在了
a 資料夾選項 / 隱藏保護的作業系統檔案 / disable → 無效,選項有確實的取消,而且不會再次 enable
b HKCU \ Software \ Mi... \ Win... \ CurrentVersion \ Explorer \ Advanced \
DWORD SuperHidden:1
個人目前的動作到這邊結束…
還是找不出修復的方法
有試過 kavo killer 之類的軟體,仍無法將該選項之功能啟用
雖然說…看不到,但還是進的去,而且是資料夾被視為系統資料夾
裡面的檔案並不是該類型,所以仍可大刀刪刪刪~
只是看不到 C:\Windows\System32\Drivers\ 感覺怪怪的…
煩請有經驗的人幫個忙 m(_._)m
以上!
=============================
最後是『自行』加入這段機碼與DWORD 才讓該選項生效的…
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowAll
DWORD checkedvalue= 1