/ 后遗症

病毒后遗症的处理

**杀软清除病毒之后,往往会留下一些病毒的后遗症,下面就介绍下常见的几种后遗症以及解决方法。**
 
**第一个是隐藏文件不能显示。**[** **http://zhidao.ikaka.com/Aspx/Html/StaticHtml/320/320958.html](http://zhidao.ikaka.com/Aspx/Html/StaticHtml/320/320958.html) 症状就像上面那个求助者所说的,文件夹选项里面这一项已经是显示隐藏文件了但实际上不显示 通过分析病毒对注册表的修改,我找到了几个与此相关的注册表项。 HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue 这个地方是最狠毒的,有两种情况 1.病毒直接把CheckedValue的值改成0. 2.病毒会把这一项删除掉,新建一个名字同样为CheckedValue的值,但是值类型却是REG_SZ,原本值类型是RED_DWORD。 大家两种情况都可以模拟一下,效果是一样的。 在文件夹选项里面选择了“显示隐藏文件和文件夹”,点确定关闭文件夹选项。再开文件夹选项,发现又跑回“不显示隐藏文件和文件夹”,要是不知道,肯定以为是有病毒进程在守护。修改方法也简单,删除病毒建立的REG_SZ值,新建RED_DWORD型的值CheckedValue,赋值1即可。 其他几个位置一样,我列在下面,值类型也要看清楚,别弄错。 位置:HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden 值类型:REG_DWORD 值:1 位置:HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden 值类型:REG_DWORD 值:1 位置:HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenValueName 值类型:REG_SZ 值:ShowSuperHidden**还有一个是显示扩展名问题。 ** 中毒之后会发现一个和神奇的现在,除了exe和com,其他文件的后缀名都在,就是那两个可执行文件的后缀名没了。 还是注册表 HKCRexefileNeverShowExt HKCRcomfileNeverShowExt 这两个的值被病毒改成1 顾名思义,就是永远不显示exe和com的后缀名,把值改回0,或者删除这两项值,然后刷新下即可解决。

最后一个地方是开关机执行脚本。
开关机脚本的介绍可以参考这篇文章http://xiazai.zol.com.cn/article_topic/21/215565.html
对应注册表位置是
HKCUSoftwarePoliciesMicrosoftWindowsSystemScriptsLogoff��Script
HKLMSOFTWAREPoliciesMicrosoftWindowsSystemScriptsShutdown��Script
HKLMSOFTWAREPoliciesMicrosoftWindowsSystemScriptsStartup��Script
症状是开关机的时候会显示“正在执行注销脚本”之类的信息,这是病毒起死回生的重要手段之一。
解决方案一样,直接删除对应的注册表值即可。

病毒后遗症的处理
Share this