Was sonst außer einem Virus würde "Versteckte Dateien anzeigen" in WinXP aktivieren

3702
LachlanG

Ich habe ein paar Maschinen, die definitiv in letzter Zeit Viren hatten und höchstwahrscheinlich immer noch.

Ich habe Norton AV, den Radix RootKit-Entferner, den Sophos Rootkit-Entferner, Spybot, Ad-Aware, CA Antivirus Plus, AVG, AntiVir und SysInternals Rootkit Revealer ausgeführt, und keiner von ihnen kann auf diesen Rechnern weitere Fehler finden.

Ich habe sogar die Festplatten herausgenommen, sie in ein Gehäuse eines USB-Laufwerks gesteckt und von einem anderen virenfreien Computer aus gescannt. Immer noch nichts.

Die Einstellung "Ausgeblendete Dateien / Ordner anzeigen" von Windows wird jedoch immer wieder eingeschaltet. Sie schalten es aus, klicken Sie auf OK und sofort ist es wieder eingeschaltet.

Ich habe den Registrierungsschlüssel für die Einstellung mit SysInternals RegMon überwacht und das ergab, dass die Einstellung von explorer.exe zurückgesetzt wurde, sobald ich sie manuell ändere.

Wie gesagt, ich bin ziemlich sicher, dass es auf diesen Maschinen immer noch eine Art schleichendes Virus oder Root-Kit gibt, aber ich untersuche jetzt die Möglichkeit, dass die Viren entfernt sind und etwas anderes die Einstellung "Ausgeblendete Dateien anzeigen" zurücksetzt .

Irgendwelche Vorschläge? Ich möchte wirklich eine Neuformatierung dieser Maschinen vermeiden.

1
welcher Registrierungsschlüssel? es gibt 3, die sich damit befassen. John T vor 14 Jahren 0
Ich habe HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Hidden überwacht, nachdem ich sie über Folder Options Dlg geändert hatte. LachlanG vor 14 Jahren 0
Sie können versuchen, die ACLs für diese Registrierungsschlüssel zu ändern, um den Zugriff zu verweigern, sodass sie nicht geändert werden können, nachdem sie ihren beabsichtigten Wert haben. Ich persönlich bezweifle, dass ein Virus diese Einstellung jemals aktivieren würde *. Off wäre eine wahrscheinlichere Wahl für Malware. Joey vor 14 Jahren 0

2 Antworten auf die Frage

3
John T

Möglicherweise möchten Sie auch diese Registrierungseinträge überwachen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

und

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

Ein wenig Forschung zeigt eine Menge Viren, die alle 3 Registry-Einträge manipulieren. Es ist sehr wahrscheinlich, dass sich immer noch etwas in Ihrem System befindet. Ich persönlich fühle mich mit einem Betriebssystem nicht sicher, nachdem es kompromittiert wurde, selbst wenn ein Scanner viele Viren aufnimmt und erfolgreich entfernt. Wer weiß, was hinterlassen wurde? Wenn dies eine Option ist (obwohl Sie dies lieber nicht tun möchten), würde ich vorschlagen, dass Sie eine saubere Installation durchführen. Erstellen Sie nach der Installation aller wichtigen Programme und Treiber ein Backup-Image mit Acronis True Image oder Norton Ghost, auf das Sie zurückgreifen können. Ich würde auch vorschlagen, diese Sicherungen regelmäßig zu aktualisieren.

Bist du dir dieser 2 Schlüssel sicher? Ich schaue jetzt auf einem anderen nicht infizierten WinXP-PC und sie existieren nicht. LachlanG vor 14 Jahren 0
Wenn sie nicht vorhanden sind, können Sie sie erstellen. Aber sie sollten in meinem System sein. John T vor 14 Jahren 0
Alle gültigen Vorschläge, ich wünsche den Freunden / Familienmitgliedern, denen diese Maschinen gehören, ihnen gefolgt. LachlanG vor 14 Jahren 0
1
JFV

Wie viele explorer.exe's laufen? Wenn es mehr als eine gibt, dann bin ich mir ziemlich sicher, dass noch etwas im System ist.

Auch wenn es nur eine Explorer.exe gibt, versuchen Sie, alle Explorer.exe's im Task-Manager zu töten, und starten Sie sie erneut. Dann sehen Sie, ob das gleiche Problem auftritt.

-JFV

Verwandte Probleme