求助 - 檔名中含有 services 字串者全都自動被隱藏~~!!

[senchiyo]

救命啊,各位路過的大大,
不知何時開始,我的電腦中所有檔名中含有 services 字串的檔案全都被隱藏
在資料夾中完全看不到,即使設定顯示所有隱藏檔和受保護的系統檔也是沒用,
但是在命令模式下看得到...

我懷疑是中毒,註冊表被寫了什麼東西,於是用 regedit 尋找 services 字串
(加選字串完全符合),結果尋找一會兒後 regedit 就被自動關閉。

這到底是什麼情況啊,第一次遇到,網路上也找不到類似症狀的討論

拜託了,各位大大,如果你知道怎麼解的話務必出手相救,感激不盡!!

P.S. 我檢查過我沒有裝任何可以隱藏特定檔名的程式,
而且我的權限是 Administrator,進安全模式也是一樣的情況。

[GaMNiA]

我前一陣子也發生和你類似的問題，設定顯示所有隱藏檔和受保護的系統檔，還是看不到隱藏檔。
一堆改登錄檔的方法試了好多種，也都沒效，掃毒也掃不到毒。
最後祭出我的必殺技........重...灌... =_="

不過你可以試試「系統還原」...

[senchiyo]

目前使用上只有這個問題,所以還不想重灌...


這真的是個案嗎? 沒有人跟我有一樣的問題嗎?
會不會是很多人還不知道而已?
提供一個測試方法:

新建一個文字檔(.txt),然後重新命名為 services.txt。

我想起前幾天中過這個毒: http://malware-test.com/blog/archives/2007/01/02/105
但不曉得有沒有關連。如他所言,我的卡巴也掃不到,不過過了幾天,
卡巴放出新的病毒定義後就抓到了。

[GaMNiA]

我是說先試試「系統還原」，重灌才是最後的方法，
能不重灌就盡量不重灌，找出問題的解決方法對自己才有幫助。

services.txt 我加上隱藏和系統屬性，還是看得到...
可能是你的登錄檔被改掉了...

[GaMNiA]

下面的登錄碼，你試試看，匯入後需重新開機一下。
ShowFiles.reg 功能是顯示副檔名及隱藏檔和系統檔。

----------------- 虛線以下剪下，存成 ShowFiles.reg ------------------
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"SuperHidden"=dword:00000001
"ShowSuperHidden"=dword:00000001

[senchiyo]

謝謝,可惜還是無效。

目前系統中沒有可疑進程,也沒有異常網路傳輸,
完全不像是中毒的樣子...
如果是註冊表被改,我倒是很想知道改哪裡能有這
麼棒的效果,這樣以後就可以拿來保護重要檔案了
所以我想應該也不是註冊表的問題,不然應該找得到
這種功能的文章。
想來想去覺得是軟體衝突或軟體故障的可能性比較高,
以前Windows98時代,曾經一次系統故障後居然出現在
Windows2000上才能看到的功能,有夠神奇。

[不知道]

引用:

想來想去覺得是軟體衝突或軟體故障的可能性比較高,
以前Windows98時代,曾經一次系統故障後居然出現在

那很有可能是硬碟出問題喔

您找找avast 4.7這套軟體
然後更新病毒馬後,讓他在系統尚未進入視窗畫面時開始掃毒
看看能不能掃到病毒或惡意程式

<試試>

[senchiyo]

引用:

作者: 不知道

那很有可能是硬碟出問題喔

您找找avast 4.7這套軟體
然後更新病毒馬後,讓他在系統尚未進入視窗畫面時開始掃毒
看看能不能掃到病毒或惡意程式

<試試>

謝謝提供這個新的方法,值得一試。
試之前想請問一下,裝這個要先移除卡巴嗎?

[GaMNiA]

引用:

作者: senchiyo

我懷疑是中毒,註冊表被寫了什麼東西,於是用 regedit 尋找 services 字串
(加選字串完全符合),結果尋找一會兒後 regedit 就被自動關閉。

我重新把文章看了一遍，覺得你也有可能是某些系統檔有點問題(像是 .dll .vxd .sys)
例如：某些軟體安裝時將舊版本的dll蓋到較新版本的dll (這只是推測舉例說明而已)

還有一個情況是......登錄檔部份損壞。
軟體衝突也是有可能的。

[不知道]

引用:

作者: senchiyo

謝謝提供這個新的方法,值得一試。
試之前想請問一下,裝這個要先移除卡巴嗎?

嗯
聽說會跟卡巴衝
不過跟NOD32就不會

<參考>

[senchiyo]

最後決定在命令模式下手工抓毒,
運氣不錯,30分鐘就找到了可疑程式,
把牠們都改名並重啟動後就恢復正常了

我用卡巴重掃這些檔案竟然只抓出2隻!
但我真正不爽的是,既然卡巴能抓出兩隻,
為什麼在我改檔名前一隻都抓不出來?
裝你何用? 臭卡巴

我自己又研究了一下,了解了牠們是利用一個dll來
掛載到services.exe並隱藏進程,而且有一個特徵,
所有svchost.exe進程也都會隱藏!!
但至今我還搞不懂牠們是如何隨開機自動啟動的,
幾處能設定隨系統啟動的地方都沒有指向這些檔案
的值,非常奇怪。

總之,這個病毒我用最新病毒定義都抓不出來,應該
是新病毒沒錯,大家要小心!

[GaMNiA]

嗯～不錯喔...樓主自己抓出來了...
現在的病毒還真是麻煩，一些奇奇怪怪的狀況，真難判斷...

[rezard]

幾個月前的資安課程中，老師曾示範使用NT的rootkit隱藏特定字元的資料夾、檔案、程序等，駭客或惡意碼只要開機自動執行相關程式，要隱藏不讓使用者看見卻背地執行服務，不是難事。

至於如何駭入被駭電腦，只要該電腦不隨時修補漏洞，又無防火牆等防護，隨便用漏洞攻擊程式取得最高權限，埋下傾聽連線程式，再用匿蹤功用的rootkit隱匿行蹤，除非被駭者的資安防護功力具一定水準，否則幾乎不會馬上察覺...從此駭客又多了一部跳板，俗稱僵屍電腦。

小弟曾實做作業，使用駭客工具匿蹤埋類似telnet的程式，在win2000 sp4不再上安全性更新且不安裝軟體防火牆的情況下，很簡單的就被入侵成功。

所以，在這個網網互連的時代，千萬別再鐵齒PC什麼防護都不裝，否則總有一天會是檢調找上你，說你的電腦入侵別人，電腦被扣押，人被帶回偵訊...