2012年7月7日 星期六

開機後桌面所有資料夾和檔案都消失、跳出無數個小視窗


轉貼出處-->http://www.spywarehelpcenter.com/how-to-remove-system-fix-virus-removal/?lang=zh


System Fix, 也被称为 System Fix 病毒,是假的硬盘驱动器修复方案,全世界感染计算机. 假货 System Fix 通过从互联网上下载受感染的文件正在分发方案. 移除说明在文章底部.


该 System Restore 病毒清除程序中可以看到下面的视频.


该 System Fix 从您的计算机病毒会隐藏所有文件. 它也将开启你的桌面完全黑. 还隐藏着快捷方式和开始菜单项目. 假货 System Fix 方案希望你相信,的确有一个与您的计算机的问题.
该 System Fix 病毒不会删除你的文件或程序永久, 它只是隐藏他们. 您可以得到您的文件和程序,如果你遵循的步骤上一步说明 详细的病毒去除页.



下面是一个形象的 System Fix 病毒假冒用户界面.
System Fix Virus Scan Window


你是否与感染 System Fix 病毒? 你也许会奇怪,你怎么成了​​这个假的硬盘修复程序感染. 病毒,如 System Fix感染计算机用户下载并运行受感染的文件时. 这些受感染的文件分布在整个互联网.
如果你下载并运行文件相关的传染病 System Fix 你不幸病毒感染您的计算机. 与感染 System Fix 病毒并不意味着您的计算机被摧毁. 您可以成功地删除 System Fix 病毒.


假货 System Fix 计划将不断显示警告和您的计算机硬盘驱动器损坏的警报. 该病毒故意导致您的计算机运行缓慢,为了让你相信,真的是您的硬盘驱动器的问题. 然而, 真正的问题是 System Fix 病毒.
这假的程序使用欺骗手段和社会工程战术,企图说服你,你的电脑需要维修,这是 System Fix 可以修复它. 请记住, System Fix 是假的程序,是不以任何方式的真正.


创建网络犯罪分子 System Fix 病毒只有这样做是为了赚钱. 他们的希望是,当一台计算机用户感染了病毒,他们将成为确信,假的 System Fix 硬盘修复程序将修复自己的电脑. 删除你的文件的结合, 造成您的计算机运行缓慢,并多次警告得到你的钱用于所有方法.
请记住, System Fix 是假的程序. 它不会修复您的硬盘驱动器或优化您的计算机. 不信任的假 System Fix 应用程序.


我们的罢免程序,还包括关于如何得到恢复的文件的说明 System Fix 已隐藏. 请按照下列步骤仔细一步病毒清除指令. 请记住,你必须删除 System Fix 病毒首先然后你可以开始文件恢复过程.


我们已经测试了我们 System Fix 使用我们推荐的病毒清除程序的病毒清除程序称为PC工具间谍医生与防毒. PC Tools的计划是一个由计算机安全专家开发的高度评价和先进的病毒清除程序. 很多时间和精力投入创建的PC工具程序以及去除测试所涉及的 System Fix 病毒.


如需详细 System Fix 清除病毒的说明,请 点击这里.


快速的病毒清除步骤
目标病毒: System Fix Virus
快速的病毒清除概述如下步骤,我们已经证明删除 System Fix Virus. 您 必须 受感染的计算机上执行这些步骤时,.

要开始, 继续前进,重新启动被感染的计算机. 如果受感染的计算机是关闭, 继续前进,打开它.




计算机立即开始启动, 按F8多次. 按F8,您可以访问高级选项菜单.




一旦你在高级选项菜单, 使用箭头键选择 Safe Mode with Networking 选项. 当您选择该选项后按“输入”.
Safe Mode with Networking


Windows现在将引导进入 Safe Mode with NetworkingSafe Mode with Networking 将允许你删除System Fix 当Windows在正常模式下,它不会允许.




现在的病毒是不是运行它的时候开始拆除. 在键盘上, 单击并 举行 Windows键, 然后按R键. 键盘图.
key




当您按下Windows和R键, Windows运行对话框将打开. 准确键入的以下运行框中,单击“确定”:
iexplore http://www.spywarehelpcenter.com/remove


Windows Run Remove




单击“确定”后, 您的计算机将连接到我们的网站和下载我们推荐的病毒清除程序调用 Spyware Doctor 经PC Tools.




当你看到 PC Tools 下载框, 单击运行按钮. 下面图片下载框. 在您点击 “运行” 按钮, PC Tools 将推出. 如果您的电脑询问您是否确定您要运行 PC Tools, 单击“确定”.
PC Tools Download Box Click Run




一旦病毒扫描完成, PC工具将发现 System Fix. 取出 System Fix Virus 经 注册PC工具. 您必须先注册PC工具,而仍然在安全模式下删除 System Fix.




在您注册之后PC工具, 病毒被删除, 您可以安全地重新启动进入正常模式. 该病毒应完全消失.




现在,这种病毒被删除, 请 点击这里 学习如何迅速恢复您的文件和程序.


如需详细的病毒清除说明,请 点击这里.
System Fix 病毒删除视频


-------------------------------------------------------------------------分隔線-------------------------------------------------------------------------
-------------------------------------------------------------------------分隔線------------------------------------------------------------------------- 

以上是該防毒軟體所提出的解毒方式,也可以試試看以下手動的方式:

若是有使用金山毒霸掃毒那您會得到更快的解決方式,直接跳到 setup6.(非置入式行銷喔)是經過多人測試所得到的結果
將網路上找到要刪除的進程、程式、登錄檔紀錄如下:
解毒步驟:
step1. 開機按F8進入安全模式
step2. 刪進程 - 開啟工作管理員 ,在處理程序找可疑的exe程式,把它結束
step3. 刪除病毒寫入的登錄檔資料
step4. 刪除病毒產生的檔案
step5. 確認步驟都完成了以後重新啟動電腦,沒有再出現畫面就是完成了。
step6. 恢復隱藏檔及開始功能表
推薦可以使用kvtool先掃過一次,把其他可能的隨身碟病毒處理掉。
※如果工作管理員不能用,kvtool也可以將其恢復。


刪除可疑的程序(Process)
簡單來說就是工作管理員,切換到處理程序,CPU或記憶體高的程序,又是亂碼或沒意義的exe檔,就強制關閉吧。
刪除病毒所改的登錄檔(Regedit)

進入登錄編輯程式(開始/執行 regedit)後,找到這些登錄檔資料後,把右方的選項刪除。也就是到了目錄後,把下面底線的項目刪除。
例如:進到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 後,把右方名稱為 Use FormSuggest 資料按右鍵刪除。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'Yes'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"CertificateRevocation" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"WarnonBadCertRecving" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop"NoChangingWallPaper" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations"LowRiskFileTypes" = '.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments"SaveZoneInformation" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDesktop" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableTaskMgr" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ".exe" ※可疑的、亂碼的exe啟動資料就刪掉吧
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system"DisableTaskMgr" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = 'no'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"ShowSuperHidden" = '0'


刪除病毒所生成的病毒檔
病毒會在桌面上、快速啟動、以及開始選單程式集內,將下列資料夾下可疑exe檔及system fix的捷徑刪除

首先要能看到隱藏檔,也就是 工具/資料夾選項 檢視
勾選
顯示所有檔案和資料夾
顯示系統資料夾的內容

取消勾選
隱藏保付的作業系統檔案
隱藏已知檔案類型的副檔名
開始刪檔
使用者資料夾
XP、2000預設在C:\Documents and Settings\使用者名稱
windows 7、vista 預設在C:\Users\使用者名稱
請刪除底下的怪異檔名.exe,例如poraehhcngan.exe

暫存檔
XP、2000預設在C:\Documents and Settings\使用者名稱\LOCAL SETTINGS\Temp
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local\Temp
裡面的smtemp資料夾請刪除


刪除外掛
XP、2000預設在C:\Documents and Settings\使用者名稱\Local Settings\Application Data
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local
這邊我忘記刪除什麼資料了,但是記得IE要清除網頁暫存檔。

刪除開始功能表程式集下的System Fix
簡單來說這邊就是進入使用者資料夾,記得將隱藏的檔案、資料夾開啟(工具/資料夾選項/檢視)
XP、2000預設在C:\Documents and Settings\使用者名稱\「開始」功能表 \ 程式集
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local\AppData\Roaming\Microsoft\Windows\Start Menu
C:\Users\使用者名稱\AppData\Roaming\Microsoft\Windows\Start Menu\Programs (因為職員是xp系統,w7不確定會在哪生成,如果有發現在請網友們提供啦,左邊是我猜測的位置)




Remove Folders and Files
%LocalAppData%\[random]
%LocalAppData%\[random].exe
%LocalAppData%\~[random]
%LocalAppData%\~[random]
%StartMenu%\Programs\System Fix
%Temp%\smtmp
%UserProfile%\Desktop\System Fix.lnk
File Location Notes:
簡單來說這邊就是進入使用者資料夾,記得將隱藏的檔案、資料夾開啟(工具/資料夾選項/檢視)
%UserProfile% 預設this is C:\Documents and Settings\[Current User] for Windows 2000/XP, C:\Users\[Current User] for Windows Vista/7, and c:\winnt\profiles\[Current User] for Windows NT.

%Temp% refers to the Windows Temp folder. By default, this is C:\Windows\Temp for Windows 95/98/ME, C:\DOCUMENTS AND SETTINGS\[Current User]\LOCAL SETTINGS\Temp for Windows 2000/XP, and C:\Users\[Current User]\AppData\Local\Temp for Windows Vista and Windows 7.

%LocalAppData% refers to the current users Local settings Application Data folder. By default, this is C:\Documents and Settings\[Current User]\Local Settings\Application Data for Windows 2000/XP. For Windows Vista and Windows 7 it is C:\Users\[Current User]\AppData\Local.

%StartMenu% refers to the Windows Start Menu. For Windows 95/98/ME it refers to C:\windows\start menu\, for Windows XP, Vista, NT, 2000 and 2003 it refers to C:\Documents and Settings\[Current User]\Start Menu\, and for Windows Vista/7 it is C:\Users\[Current User]\AppData\Roaming\Microsoft\Windows\Start Menu.

其中掃毒程式掃出來的資訊,我也貼在這,一併刪除,這些就是我這次案例病毒的藏身處(但要先開啟隱藏)
c:\documents and settings\all users\application data\poraehhcngan.exe ---- Startup
c:\documents and settings\all users\application data\dyiajiwxvoeua.exe ---- Startup
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\system fix\system fix.lnk ---- General
C:\Documents and Settings\All Users\Application Data\vUeZCuomoZnhZp.exe ---- General
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\system fix\uninstall system fix.lnk ---- General
C:\Documents and Settings\使用者名稱\桌面\system fix.lnk ---- General
C:\Documents and Settings\使用者名稱\Application Data\microsoft\internet explorer\quick launch\system fix.lnk ---- General
C:\Documents and Settings\All Users\Application Data\vUeZCuomoZnhZp.exe ---- General
C:\Documents and Settings\使用者名稱\Local Settings\Temp\smtmp\2\System Fix.lnk ---- General  ※將smtmp使用搜尋.lnk,將所有System Fix.lnk刪除


Setup 6. 
恢復隱藏檔(取消隱藏) - 使用金山毒霸後直接從這裡開始處理
基本上根目錄都所有檔案都取消隱藏,有一些系統資料夾本來就不能取消隱藏了,所以就放心的全部取消隱藏吧。

程式集(XP)不見的話就進到:
C:\Documents and Settings\All Users\「開始」功能表\程式集\
以及
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集
將所有資料選起來點選右鍵內容 / 取消勾選隱藏
快速啟動消失(開始右邊那些小按鈕)恢復:
進到下列位置,也是取消隱藏
C:\Documents and Settings\使用者名稱\Application Data\Microsoft\Internet Explorer\Quick Launch
我的最愛恢復:
進入C:\Documents and Settings\使用者名稱\Favorites
全選取消隱藏

控制台、執行等恢復:
開始按鈕 點選右鍵 / 內容 / 「開始」功能表
選 自訂 / 進階
將啟動功能表項目的資料勾選起來。
應該到目前為止步驟都對就能處理完畢了。
處理那該死的system fix成功!

修復開始功能表
經網友找來資料,temp底下的smtmp就是開始功能表的捷徑被病毒移動的位置。
所以將System Fix.lnk刪除以後即可進行恢復。
底下內容從 http://www.bleepingcomputer.com/forums/topic405109.html 整理
temp/smtmp底下對應原始位置
在執行方塊輸入 %Temp%\smtmp\1:
找到 smtmp 資料夾點擊進入,找到 1 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面

Windows XP: C:\Documents and Settings\All Users\Start Menu
Windows Vista and Windows 7: C:\ProgramData\Microsoft\Windows\Start Menu

在執行方塊輸入 %Temp%\smtmp\2\:
找到 smtmp 資料夾點擊進入,找到 2 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面 

Windows XP: C:\Documents and Settings\\Application Data\Microsoft\Internet Explorer\Quick Launch\
Windows Vista and Windows 7: C:\Users\\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

在執行方塊輸入 %Temp%\smtmp\3\:(XP無此路徑,只適用WIN7)
找到 smtmp 資料夾點擊進入,找到 3 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面  

Windows XP: Does not exist in XP. Therefore do not be concerned if %Temp%\smtmp\3 does not exist on Windows XP.
Windows Vista and Windows 7: C:\Users\\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

在執行方塊輸入 %Temp%\smtmp\4\:
找到 smtmp 資料夾點擊進入,找到 4 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面 
Windows XP: C:\Documents and Settings\All Users\Desktop
Windows Vista and Windows 7: C:\Users\Public\Desktop
備註:
進入%Temp%\smtmp\ 之後不一定會看到 3和4的資料夾,大部分只看的到 1 和 2 的資料夾!!!


開始功能表恢復程式


登錄檔修復
因為有網友提到無法進入桌面,加上可能看倌不小心誤殺,就把找來的兩個登錄檔修復軟體留在這:
系統工具【Glary Registry Repair】登錄檔清除、修復、最佳化軟體
http://steachs.com/archives/1697#more-1697

Eusing Free Registry Cleaner
http://asiloop.com/eusing_free_registry_cleaner

其他處置
檢測可疑的開機程序(程式),這邊推薦使用軟體 Starter
http://codestuff.obninsk.ru/Starter56208.zip (官方載點)
一樣勾選或右鍵刪除即可。
如果使用系統還原,請務必先將啟動的可疑程序先拿掉。
拿掉以後在開始系統還原,還原後逐一檢查system fix病毒的存放位置檢查是否還有存留。
這樣應該就能根除病毒了。
最後還是推薦使用金山毒霸,畢竟動登錄檔很難查,難免誤刪。
-----------------------------------------分隔線-----------------------------------------
這類偽修復病毒的特徵就是,桌面瞬間很乾淨,通通都被隱藏了。  佈景也給被關掉,桌面變的冷清..
接著就是該類病毒特徵,跳出一堆錯誤,問你要不要修復。  不修復就給你重開機... =   =+

這隻病毒長這樣,給看倌們瞧瞧  不曉得這種病毒有沒有固定名稱,留個檔案名稱讓有緣人進來:FtJthnNSvuydIr.exe

位置呢,w7 64位元: C:\ProgramData
未命名-1.gif  


病毒似乎不難處理,重新開機進入安全模式以後,使用 Starter就可以找到,基於我一找到就先拿掉了,就沒拍截圖給各位了。

檢測可疑的開機程序(程式),這邊推薦使用軟體 Starter


找病毒藏身處

怎麼找很簡單,看路徑,也就是值的位置在C:\ProgramData底下 ,長的又像是修復軟體,檔案名稱又很長,那就是他了!

怕誤刪怎麼辦?  先把他勾掉就可以了,不用刪除。  重開機以後正常那就是刪對啦!

路徑圖如下底線處 (當然下圖底線的程式是正常的,只是範例而已)
未命名-2.gif  

恢復隱藏檔

下面這些先挑自個兒的作業系統拿來恢復吧,大概可以恢復一些基本的,其餘的等等繼續教學。

刪除Everyone的權限



有人說:想恢復時,出現 位置無法使用、存取被拒、無法存取 怎辦? 

未命名-3.gif  


很簡單,被打槍了換下一個 被病毒更改了存取權限的問題。

至於權限怎麼調整呢?

對該資料夾按右鍵 / 內容 / 安全性

會看到Everyone在最上面。

未命名-4.gif  
點一下編輯,把Everyone選起來以後移除。
未命名-5.gif 

接著將你的使用者名稱(我的是Administrators)框選以後,將下面的權限勾選完全控制,按下套用、確定。

未命名-6.gif  

接下來點下方的進階

未命名-8.gif  

進去後點變更權限,接著將你的使用者名稱選起來

勾選 以這個物件的繼承權限取代所有子物件的權限

未命名-9.gif  

通通確定以後,ok,你有權限了,就能進去了。

未命名-7.gif  

除了desktop.ini不要選以外,其他選起來右鍵,取消隱藏。

如果還是不能取消隱藏,出現權限問題,則要針對該資料夾重新一次刪除everyone權限,把使用者權限加到完全控制。


不要肖想一次全選勾掉隱藏,他會灰色反白不能按。  因為有些系統檔案是不能取消隱藏的,另外還有desktop.ini 這種也是不能取消。

只要不要勾選到那些,其他的框再多也能一次恢復!

這步驟是最繁瑣的,一堆資料夾檔案要移除掉限制存取的Everyone權限,只能慢慢來了。

看倌若找到相關恢復軟體再麻煩提供一下,由衷感謝!

最後再次檢查smtmp內的檔案有沒有恢復,我是直接複製回去,不取代這樣。 C:\Documents and Settings\使用者名稱\Local Settings\Temp
修復開始功能表

從temp底下的smtmp就是開始功能表的捷徑被病毒移動的位置。

所以將System Fix.lnk刪除以後即可進行恢復。

temp/smtmp底下對應原始位置


在執行方塊輸入 %Temp%\smtmp\1:
找到 smtmp 資料夾點擊進入,找到 1 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面

Windows XP: C:\Documents and Settings\All Users\Start Menu
Windows Vista and Windows 7: C:\ProgramData\Microsoft\Windows\Start Menu

在執行方塊輸入 %Temp%\smtmp\2\:
找到 smtmp 資料夾點擊進入,找到 2 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面 

Windows XP: C:\Documents and Settings\\Application Data\Microsoft\Internet Explorer\Quick Launch\
Windows Vista and Windows 7: C:\Users\\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

在執行方塊輸入 %Temp%\smtmp\3\:(XP無此路徑,只適用WIN7)
找到 smtmp 資料夾點擊進入,找到 3 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面  

Windows XP: Does not exist in XP. Therefore do not be concerned if %Temp%\smtmp\3 does not exist on Windows XP.
Windows Vista and Windows 7: C:\Users\\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

在執行方塊輸入 %Temp%\smtmp\4\:
找到 smtmp 資料夾點擊進入,找到 4 資料夾點擊進入,將裡面所有檔案資料夾全選複製,貼到以下路徑裡面 
Windows XP: C:\Documents and Settings\All Users\Desktop
Windows Vista and Windows 7: C:\Users\Public\Desktop
備註:
進入%Temp%\smtmp\ 之後不一定會看到 3和4的資料夾,大部分只看的到 1 和 2 的資料夾!!!


補充,使用批次檔將檔案取消隱藏,不過還是要先拿掉everyone的權限。



將下列這段文字貼到記事本以後存為 取消隱藏.bat,接著放到c槽根目錄,點右鍵 以系統管理者身份執行。

ECHO off

attrib -s -h -r /s /d


恢復開始功能表控制台之類的

點開始右鍵 / 內容 / 開始功能表下的 自訂

將控制台選以連結顯示、勾選 家用群組,勾選 執行命令,勾選搜尋程式和控制台

電腦,以連結顯示
ok,搞定。

重新啟動跳出Desktop.ini檔案
內容為:



[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

注意,為 -21787的才是病毒,其餘數字的大部分不是。



進到下面幾個位置,打開desktop.ini檔案,若shell32.dll後是 -21787 就把該desktop.ini刪除

C:\Documents and Settings\All Users\Start Menu\Programs\Startup

C:\Documents and Settings\All Users\Start Menu\Programs

C:\Documents and Settings\All Users\Start Menu

C:\Documents and Settings\使用者名稱\Start Menu\Programs\Startup
C:\Documents and Settings\使用者名稱\Start Menu\Programs
C:\Documents and Settings\使用者名稱\Start Menu 
若懶惰找,你只要搜尋 desktop,ini 然後開啟看看有沒有 -21787 ,有的話就直接刪掉那個desktop.ini 這樣就OK囉~!!!

目前為止應該都沒問題了,祝大家解毒成功!!


張貼者: 發表於
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)