endurer 原创
2007-02-02 第1版
一位网友说他的电脑杀毒后,隐藏文件显示不出来了,让偶通过QQ远程协助帮忙检修。
到 http://endurer.ys168.com 下载了 HijackThis 扫描 log,发现可疑项:
/--------
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
--------/
用 pe_xscan 扫描,发现可疑项:
/--------
pe_xscan by Purple Endurer
2007-2-2 13:19:1
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel 存在 IE或Internet选项可能受到限制
O16 - DPF: _{5932517A-3326-4439-A708-1C98EDB5C549} (
) - file://C:/Documents and Settings/All Users/Application Data/Share Helper/Cast/GGS/d8f6fba154/js/iMopDl.cab
O23 - 服务: Cdsys (Cdsys) - C:/WINDOWS/system32/cdcd.sys(手动启动)
O23 - 服务: Fhesrv32 (Fhesrv32) - C:/我的下载/FHE/SERVER/Fhesrv32.sys(手动启动)
O23 - 服务: hidport (hidport) - C:/WINDOWS/system32/drivers/hidport.sys(自动启动)
O24 - [HookExecute Class] - {4BAB150F-DD97-476D-9C1E-41B6CDC0CA7A} = C:/PROGRA~1/Yahoo!/Assistant/yClickOn.dll
SHOWALL Type isn't dword
--------/
果然是SHOWALL的类型被病毒调包了。
网友的电脑中的雅虎助手虽然卸载了,但卸载得不干净,还留下一个O24项,真是与“虎”谋皮-_-!
问网友得知C:/我的下载/FHE里面的是个文件隐藏工具。
用 HijackThis 修复 O6 项。
用注册表编辑器,删除O23中的Cdsys、hidport,和O24的键值。
重建dword型的SHOWALL项。可参考:
【系统修复系列之】如何 显示所有的文件和文件夹
http://endurer.blogchina.com/2590659.html
本来想用masm32写一个程序来检测和修复这种故障的,不过估计这个程序采用默认汇编参数的话,生成的可执行程序文件大小至少也有1KB,偶想用另一种语言来实现^_^……