一陣嘻，噓!

基於很多人瀏覽這頁面，我寫詳細一點給大家參考！
我也在101/01/04中毒了，我家系統是W7 64位元，另寫了一篇有拍照說明的處置方式，請點這觀看

軟體提示的錯誤訊息：
PC Performance & Stability analysis report、Windows detected a hard disk error、Windows detected a hard drive problem、System Error、Critical Error、Critical Error、Windows – No Disk、Exception Processing 、Message 0×0000013、Activation Reminder

先看這網站 http://www.spywarehelpcenter.com/how-to-remove-system-fix-virus-removal/?lang=zh
處理方式（英文）：http://www.myantispyware.com/2011/11/15/how-to-remove-system-fix-virus/

一開始下關鍵字搜尋，找到的都是哪個防毒軟體可以刪除這病毒，結果下載掃了以後，刪除病毒時都需要輸入序號...
讓我懷疑是不是所謂的病毒就是這些防毒公司請人寫的 ..
因為該死的跟系統這麼密合，也不刪資料，就單純把你的所有資料夾隱藏，接著開始假系統修復
最後爬文就都導向推薦安裝什麼防毒軟體可以刪除，然後裝上防毒軟體又要花錢才能夠解毒
所以這是合理的懷疑！！

好啦，抱怨完了

 ※100/11/25 網友提供金山毒霸可以刪除病毒，僅需將隱藏檔恢復即可，趕快下載試試。（這個不是置入性行銷 =  =）
因為有一位電腦公司的朋友推薦過金山獵豹掃毒蠻強的，又有網友提供可以刪除System fix，所以看倌們真的可以試試，不過新版的沒有繁體中文就是了。
我個人現在使用是覺得還蠻不錯用的（用了一個多月了），NOD32非常不推薦... 辦公室同仁裝的是該套防毒，一點效果都沒有...
使用金山毒霸的話，掃完重新開機只需要進行步驟六就可以囉

將網路上找到要刪除的進程、程式、登錄檔紀錄如下：
解毒步驟：

step1. 開機按F8進入安全模式
step2. 刪進程 - 開啟工作管理員 ，在處理程序找可疑的exe程式，把它結束
step3. 刪除病毒寫入的登錄檔資料
step4. 刪除病毒產生的檔案
step5. 確認步驟都完成了以後重新啟動電腦，沒有再出現畫面就是完成了。
step6. 恢復隱藏檔及開始功能表

推薦可以使用kvtool先掃過一次，把其他可能的隨身碟病毒處理掉。
※如果工作管理員不能用，kvtool也可以將其恢復。

刪除可疑的程序(Process)

簡單來說就是工作管理員，切換到處理程序，CPU或記憶體高的程序，又是亂碼或沒意義的exe檔，就強制關閉吧。

刪除病毒所改的登錄檔(Regedit)

進入登錄編輯程式（開始/執行 regedit)後，找到這些登錄檔資料後，把右方的選項刪除。也就是到了目錄後，把下面底線的項目刪除。
例如：進到 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 後，把右方名稱為 Use FormSuggest 資料按右鍵刪除。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Use FormSuggest" = 'Yes'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "CertificateRevocation" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnonBadCertRecving" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop "NoChangingWallPaper" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes" = '.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments "SaveZoneInformation" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoDesktop" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ".exe" ※可疑的、亂碼的exe啟動資料就刪掉吧
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system "DisableTaskMgr" = '1'

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download "CheckExeSignatures" = 'no'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden" = '0'

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "ShowSuperHidden" = '0'

刪除病毒所生成的病毒檔

病毒會在桌面上、快速啟動、以及開始選單程式集內，將下列資料夾下可疑exe檔及system fix的捷徑刪除

首先要能看到隱藏檔，也就是 工具/資料夾選項 檢視
勾選
顯示所有檔案和資料夾
顯示系統資料夾的內容

取消勾選
隱藏保付的作業系統檔案
隱藏已知檔案類型的副檔名

開始刪檔

使用者資料夾
XP、2000預設在C:\Documents and Settings\使用者名稱
windows 7、vista 預設在C:\Users\使用者名稱
請刪除底下的怪異檔名.exe，例如poraehhcngan.exe

暫存檔
XP、2000預設在C:\Documents and Settings\使用者名稱\LOCAL SETTINGS\Temp
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local\Temp
裡面的smtemp資料夾請刪除

刪除外掛
XP、2000預設在C:\Documents and Settings\使用者名稱\Local Settings\Application Data
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local
這邊我忘記刪除什麼資料了，但是記得IE要清除網頁暫存檔。

刪除開始功能表程式集下的System Fix
簡單來說這邊就是進入使用者資料夾，記得將隱藏的檔案、資料夾開啟（工具/資料夾選項/檢視）
XP、2000預設在C:\Documents and Settings\使用者名稱\「開始」功能表 \ 程式集
windows 7、vista 預設在C:\Users\使用者名稱\AppData\Local\AppData\Roaming\Microsoft\Windows\Start Menu
C:\Users\使用者名稱\AppData\Roaming\Microsoft\Windows\Start Menu\Programs （因為職員是xp系統，w7不確定會在哪生成，如果有發現在請網友們提供啦，左邊是我猜測的位置）




Remove Folders and Files
%LocalAppData%\[random]
%LocalAppData%\[random].exe
%LocalAppData%\~[random]
%LocalAppData%\~[random]
%StartMenu%\Programs\System Fix
%Temp%\smtmp
%UserProfile%\Desktop\System Fix.lnk
File Location Notes:

簡單來說這邊就是進入使用者資料夾，記得將隱藏的檔案、資料夾開啟（工具/資料夾選項/檢視）
%UserProfile% 預設this is C:\Documents and Settings\[Current User] for Windows 2000/XP, C:\Users\[Current User] for Windows Vista/7, and c:\winnt\profiles\[Current User] for Windows NT.

%Temp% refers to the Windows Temp folder. By default, this is C:\Windows\Temp for Windows 95/98/ME, C:\DOCUMENTS AND SETTINGS\[Current User]\LOCAL SETTINGS\Temp for Windows 2000/XP, and C:\Users\[Current User]\AppData\Local\Temp for Windows Vista and Windows 7.

%LocalAppData% refers to the current users Local settings Application Data folder. By default, this is C:\Documents and Settings\[Current User]\Local Settings\Application Data for Windows 2000/XP. For Windows Vista and Windows 7 it is C:\Users\[Current User]\AppData\Local.

%StartMenu% refers to the Windows Start Menu. For Windows 95/98/ME it refers to C:\windows\start menu\, for Windows XP, Vista, NT, 2000 and 2003 it refers to C:\Documents and Settings\[Current User]\Start Menu\, and for Windows Vista/7 it is C:\Users\[Current User]\AppData\Roaming\Microsoft\Windows\Start Menu.

其中掃毒程式掃出來的資訊，我也貼在這，一併刪除，這些就是我這次案例病毒的藏身處（但要先開啟隱藏）
c:\documents and settings\all users\application data\poraehhcngan.exe ---- Startup

c:\documents and settings\all users\application data\dyiajiwxvoeua.exe ---- Startup

C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\system fix\system fix.lnk ---- General

C:\Documents and Settings\All Users\Application Data\vUeZCuomoZnhZp.exe ---- General

C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\system fix\uninstall system fix.lnk ---- General

C:\Documents and Settings\使用者名稱\桌面\system fix.lnk ---- General

C:\Documents and Settings\使用者名稱\Application Data\microsoft\internet explorer\quick launch\system fix.lnk ---- General

C:\Documents and Settings\All Users\Application Data\vUeZCuomoZnhZp.exe ---- General

C:\Documents and Settings\使用者名稱\Local Settings\Temp\smtmp\2\System Fix.lnk ---- General  ※將smtmp使用搜尋.lnk，將所有System Fix.lnk刪除

恢復隱藏檔（取消隱藏） - 使用金山毒霸後直接從這裡開始處理

基本上根目錄都所有檔案都取消隱藏，有一些系統資料夾本來就不能取消隱藏了，所以就放心的全部取消隱藏吧。

程式集(XP)不見的話就進到：
C:\Documents and Settings\All Users\「開始」功能表\程式集\
以及
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集
將所有資料選起來點選右鍵內容 / 取消勾選隱藏

快速啟動消失（開始右邊那些小按鈕）恢復：
進到下列位置，也是取消隱藏
C:\Documents and Settings\使用者名稱\Application Data\Microsoft\Internet Explorer\Quick Launch

我的最愛恢復：
進入C:\Documents and Settings\使用者名稱\Favorites
全選取消隱藏

控制台、執行等恢復：
開始按鈕 點選右鍵 / 內容 / 「開始」功能表
選 自訂 / 進階
將啟動功能表項目的資料勾選起來。

應該到目前為止步驟都對就能處理完畢了。
處理那該死的system fix成功！

修復開始功能表

經網友找來資料，temp底下的smtmp就是開始功能表的捷徑被病毒移動的位置。
所以將System Fix.lnk刪除以後即可進行恢復。
底下內容從 http://www.bleepingcomputer.com/forums/topic405109.html 整理

temp/smtmp底下對應原始位置

%Temp%\smtmp\1:

Windows XP: C:\Documents and Settings\All Users\Start Menu
Windows Vista and Windows 7: C:\ProgramData\Microsoft\Windows\Start Menu

%Temp%\smtmp\2\:

Windows XP: C:\Documents and Settings\<your login name here>\Application Data\Microsoft\Internet Explorer\Quick Launch\
Windows Vista and Windows 7: C:\Users\<your login name here>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

%Temp%\smtmp\3\:

Windows XP: Does not exist in XP. Therefore do not be concerned if %Temp%\smtmp\3 does not exist on Windows XP.
Windows Vista and Windows 7: C:\Users\<your login name here>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

%Temp%\smtmp\4\:

Windows XP: C:\Documents and Settings\All Users\Desktop
Windows Vista and Windows 7: C:\Users\Public\Desktop

開始功能表恢復程式

Windows 2000 US English
http://download.bleepingcomputer.com/grinler/fakehdd/win-2000-sm-reset.exe

Windows XP Pro 32-bit US English - This should also work in other 32 bit version of Windows XP but I have nothing to compare against.
http://download.bleepingcomputer.com/grinler/fakehdd/winxp-pro-32bit-sm-reset.exe

Windows Vista 32-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/vista-32-sm-reset.exe

Windows Vista 64-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/vista-64-sm-reset.exe

Windows 7 32-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/win7-32-sm-reset.exe

Windows 7 64-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/win7-x64-sm-reset.exe

登錄檔修復

因為有網友提到無法進入桌面，加上可能看倌不小心誤殺，就把找來的兩個登錄檔修復軟體留在這：

系統工具【Glary Registry Repair】登錄檔清除、修復、最佳化軟體
http://steachs.com/archives/1697#more-1697

Eusing Free Registry Cleaner
http://asiloop.com/eusing_free_registry_cleaner

其他處置
檢測可疑的開機程序（程式），這邊推薦使用軟體 Starter
http://codestuff.obninsk.ru/Starter56208.zip （官方載點）
一樣勾選或右鍵刪除即可。

如果使用系統還原，請務必先將啟動的可疑程序先拿掉。
拿掉以後在開始系統還原，還原後逐一檢查system fix病毒的存放位置檢查是否還有存留。

這樣應該就能根除病毒了。
最後還是推薦使用金山毒霸，畢竟動登錄檔很難查，難免誤刪。

也很感謝這些提問的網友，能夠豐富病毒的處置、復原方式。

以上 紀錄