Estou trabalhando em um computador com Windows XP que teve a infeliz experiência de estar infectado por malware que praticamente desativou tudo. Eu era capaz de limpar o computador usando uma combinação de ferramentas off-line (MS Defender Offline, etc ...) Embora o computador esteja limpo, não consigo mais ver nenhum arquivo, clique direito na área de trabalho, inicie o gerenciador de tarefas, etc. Eu sei como corrigir todos esses problemas manualmente, incluindo a configuração dos atributos de arquivo e a edição do registro, mas espero economizar horas de pesquisa para cada problema. Isso sem mencionar os problemas indesejados que podem ocorrer quando você exibe e solta arquivos que não deveriam estar visíveis. Existe uma ferramenta em algum lugar que irá redefinir todas as restrições no registro para o padrão e mostrar apenas os arquivos que não devem ser ocultos em uma única falha?
Para os arquivos ocultos: execute ATTRIB -h c:\*.* /s /d . Não vai redefinir arquivos do sistema embora. Eu então executaria o Malwarebytes AntiMalware para fazer com que o gerenciador de tarefas, a área de trabalho e outras configurações de segurança funcionassem corretamente novamente
No passo 19 da limpeza da infecção "System Fix" (que é uma que esconde tudo) do Bleeping Computador :
19.This infection family will also hide all the files on your computer from being seen. To make your files visible again, please download the following program to your desktop:
Unhide.exe
Once the program has been downloaded, double-click on the Unhide.exe icon on your desktop and allow the program to run. This program will remove the +H, or hidden, attribute from all the files on your hard drives. If there are any files that were purposely hidden by you, you will need to hide them again after this tool is run.
Eu usei e funcionou como esperado.
Aqui está um link direto para o download do Unhide.exe, certifique-se de que TODAS as infecções / rootkits sejam removidos primeiro, ou talvez seja impedido de funcionar. :)
Eu começaria aqui reparação de malware
Eu vi essa infecção e, mesmo usando todas as ferramentas mencionadas em vários artigos, cada infecção resultou em um formato e reinstalação. Em um caso eu recuperei dados, nos outros dados foi perdido.
Eu tive isso de uma fonte online. Ainda não consegui experimentá-lo e não consigo encontrar a fonte novamente
• Vidas geralmente no diretório "todos os usuários". Às vezes, na raiz de "todos os usuários" e, às vezes, em \ application data \ temp e, às vezes, ambos. Vá para as opções de pasta para mostrar todos os arquivos e arquivos OS ocultos para vê-los novamente. Isso NÃO altera seu valor "oculto". Isso é resolvido mais tarde no atributo abaixo.
• As entradas do registro geralmente não existem. Parece ser controlado a partir de uma cópia mal-intencionada de "c: \ windows \ system32 \ shell32.dll". Renomeie para .old para começar a consertar as outras coisas e reaparecerá a cada reinicialização. Quanto mais rápido você fizer isso, melhor parece ser. Quando você começa a visualizar a estrutura de diretórios \ system32, ela parece ativar alguma atividade incomum. Ou ocultando novamente os arquivos novamente ou propagando outros trojans. Eu tenho Jason renomeado dentro de cerca de 5 ou 7 segundos e parecia estar ok ..
• O nome do programa de inicialização (ou seja, npl3749fqld.exe) e o local do diretório geralmente são referenciados apenas em 'docs \ todos os usuários \ menu iniciar \ programas \ inicialização' e msconfig. Aqui você verá o nome do arquivo de inicialização "whatevername.ini". Edite o arquivo para visualizar a localização e o nome do arquivo Trojan real. Editar o arquivo não parece acionar nada. Acho que isso é apenas uma referência para a inicialização da propagação do vírus.
• Depois de encontrar as informações de localização, as ações são iguais a todos os outros vírus. Renomeie isso. Procure por ele no registro. Delete isso. Exclua todas as pastas temporárias de "todos os usuários", "usuário padrão", o usuário atual e qualquer outro perfil na máquina. Este vírus irá definir o arquivo whatevername.ini para cada usuário na caixa. Você deve limpá-los todos , incluindo os arquivos temporários.
• O atributo para mostrar todos os arquivos é "attrib -s -h -rc: / . / s / d". Ele irá demorar algum tempo para ser executado, mas deve ser executado em uma conta de administrador ou falhará. Pode ser executado em safemode ou inicialização normal
• Você pode executar o mssec em safemode para pesquisar, mas isso deve ser feito manualmente, pois os itens do menu inicial serão ocultados até o reinício, o que você não deseja fazer, a menos que tenha certeza. Este é um difícil.
Sidenote ... Se, em c: \ docs \ users \ todos os usuários \, você vir uma pasta chamada "Microsoft Anti-Malware" ou alguma variação, exclua-a. Este NÃO é um produto MS Anti-malware. Não sei se estava relacionado a esse vírus ou não, mas estava em uma caixa do sistema. O local apropriado para o anti-malware é sob c; | arquivos de programas \ microsoft security client \ que é onde você também encontrará o arquivo msseces.exe para uma verificação de vírus antes de reiniciar.
Esta ferramenta gratuita resolveu para mim o problema. Precisa ser copiado na pasta dos arquivos ocultos. link