是一种木马。常规的注册表修改已试过。1、打开注册表hkey_local_machine/softwaer/microsoft/windows/currentversion/explorer/advanced/folder/hidden/。 在这里有二个主键,分别是nohidden、showall,将nohidden下二进制键值CheckedValue和DefaultValue均设为2;showall下将CheckedValue 设为1,DefaultValue设为2。重启机子就可以了 这个方法已经试过?你再看看这个: ---------------------2、解决"显示所有文件和文件夹"不能显示隐藏文件的问题!昨天偶然发现,隐藏属性的文件不能通过显示所有文件和文件夹显示文件了,奇怪!一查进程多了个SVOHOST.EXE,可不是svchost.exe,可能中了什么木马.杀掉现象依旧,应该是注册表被其改动,隐藏其身份.在“开始”菜单中点击“运行”命令,在弹出的对话框里键入regedit打开注册表,找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/。在这里有两个主键,分别是NOHIDDEN、SHOWALL(windows2000)。在SHOWALL下面有个二进制键值CheckedValue,把它的键值修改是“0” ,原来如此!将其改为"1"后,原以为ok,结果现象依旧把NOHIDDEN的CheckedValue 值改为1,SHOWALL的CheckedValue值也改为0,点了不显示隐藏……按确定后,隐藏的文件夹全显了出来,后又点了显示所有……按确定后,文件夹反而藏了起,正好与事实相反!虽然可以通过"不显示隐藏……"看隐藏文件,但总不爽,且菜单中没有缺省选中项了,不知是否windows的BUG.对比后,恍然大悟,原来木马把SHOWALL的CheckedValue的值的属性改成REG_SZ,而不是DWORD!!!所以无论SHOWALL的CheckedValue是否==1,都不起作用!改回后回复正常!
3、找到HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。 如果你设置仍起不了作用,那么接下来看。 有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项) 针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/NOHIDDEN] "RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced" "Text"="@shell32.dll,-30501" "Type"="radio" "CheckedValue"=dword:00000002 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51104" [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL] "RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden] "Type"="checkbox" "Text"="@shell32.dll,-30508" "WarningIfNotDefault"="@shell32.dll,-28964" "HKeyRoot"=dword:80000001 "RegPath"="Software//Microsoft//Windows//CurrentVersion//Explorer//Advanced" "ValueName"="ShowSuperHidden" "CheckedValue"=dword:00000000 "UncheckedValue"=dword:00000001 "DefaultValue"=dword:00000000 "HelpID"="shell.hlp#51103" [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Policy] [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/SuperHidden/Policy/DontShowSuperHidden] @="" 具体操作方法: 1)通过记事本新建一个文件 2)将以上内容复制到新建的记事本文件中 3)通过记事本文件菜单另存为show.reg 4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。 注意:以上方法对win2000和XP有效
