一陣嘻，噓!

唉，前陣子的System fix系列病毒我也中招了。

我 很 確 定 是 Firefox 的 原 因 ...

因為ie不用已久，這陣子都在忙case也沒時間抓影片、玩遊戲。
中毒經過就是我逛著國外的網頁作品集，一個一個開的突然火狐就強制關掉了。

一開始不以為意，因為國外網站有時候js loading出錯就會掛掉，常有的事。  重開以火狐以後沒幾分鐘又跳掉。

接著電腦就如同這類偽修復病毒的特徵，桌面瞬間很乾淨，通通都被隱藏了。  佈景也給我關掉，讓我的桌面就很冷清..

接著就是該類病毒特徵，跳出一堆錯誤，問你要不要修復。  不修復就給你重開機... =   =+

這隻病毒長這樣，給看倌們瞧瞧  不曉得這種病毒有沒有固定名稱，留個檔案名稱讓有緣人進來：FtJthnNSvuydIr.exe
位置呢，w7 64位元： C:\ProgramData

病毒似乎不難處理，重新開機進入安全模式以後，使用 Starter就可以找到，基於我一找到就先拿掉了，就沒拍截圖給各位了。
檢測可疑的開機程序（程式），這邊推薦使用軟體 Starter
http://codestuff.obninsk.ru/Starter56208.zip （官方載點）

找病毒藏身處

怎麼找很簡單，看路徑，也就是值的位置在C:\ProgramData底下 ，長的又像是修復軟體，檔案名稱又很長，那就是他了！
怕誤刪怎麼辦？  先把他勾掉就可以了，不用刪除。  重開機以後正常那就是刪對啦！
路徑圖如下底線處 （當然下圖底線的程式是正常的，只是範例而已）
 

恢復隱藏檔

下面這些先挑自個兒的作業系統拿來恢復吧，大概可以恢復一些基本的，其餘的等等繼續教學。

Windows 2000 US English
http://download.bleepingcomputer.com/grinler/fakehdd/win-2000-sm-reset.exe

Windows XP Pro 32-bit US English - This should also work in other 32 bit version of Windows XP but I have nothing to compare against.
http://download.bleepingcomputer.com/grinler/fakehdd/winxp-pro-32bit-sm-reset.exe

Windows Vista 32-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/vista-32-sm-reset.exe

Windows Vista 64-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/vista-64-sm-reset.exe

Windows 7 32-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/win7-32-sm-reset.exe

Windows 7 64-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/win7-x64-sm-reset.exe

刪除Everyone的權限

有人說：想恢復時，出現 位置無法使用、存取被拒、無法存取 怎辦？ 
 

很簡單，被打槍了換下一個 被病毒更改了存取權限的問題。
至於權限怎麼調整呢？

對該資料夾按右鍵 / 內容 / 安全性
會看到Everyone在最上面。
 

點一下編輯，把Everyone選起來以後移除。

接著將你的使用者名稱（我的是Administrators）框選以後，將下面的權限勾選完全控制，按下套用、確定。
 

接下來點下方的進階
 

進去後點變更權限，接著將你的使用者名稱選起來
勾選 以這個物件的繼承權限取代所有子物件的權限
 

通通確定以後，ok，你有權限了，就能進去了。
 

除了desktop.ini不要選以外，其他選起來右鍵，取消隱藏。
如果還是不能取消隱藏，出現權限問題，則要針對該資料夾重新一次刪除everyone權限，把使用者權限加到完全控制。

不要肖想一次全選勾掉隱藏，他會灰色反白不能按。  因為有些系統檔案是不能取消隱藏的，另外還有desktop.ini 這種也是不能取消。
只要不要勾選到那些，其他的框再多也能一次恢復！

這步驟是最繁瑣的，一堆資料夾檔案要移除掉限制存取的Everyone權限，只能慢慢來了。
看倌若找到相關恢復軟體再麻煩提供一下，由衷感謝！

最後再次檢查smtmp內的檔案有沒有恢復，我是直接複製回去，不取代這樣。 C:\Documents and Settings\使用者名稱\Local Settings\Temp

修復開始功能表

從temp底下的smtmp就是開始功能表的捷徑被病毒移動的位置。
所以將System Fix.lnk刪除以後即可進行恢復。
底下內容從 http://www.bleepingcomputer.com/forums/topic405109.html 整理

temp/smtmp底下對應原始位置

%Temp%\smtmp\1:

Windows XP: C:\Documents and Settings\All Users\Start Menu
Windows Vista and Windows 7: C:\ProgramData\Microsoft\Windows\Start Menu

%Temp%\smtmp\2\:

Windows XP: C:\Documents and Settings\<your login name here>\Application Data\Microsoft\Internet Explorer\Quick Launch\
Windows Vista and Windows 7: C:\Users\<your login name here>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

%Temp%\smtmp\3\:

Windows XP: Does not exist in XP. Therefore do not be concerned if %Temp%\smtmp\3 does not exist on Windows XP.
Windows Vista and Windows 7: C:\Users\<your login name here>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

%Temp%\smtmp\4\:

Windows XP: C:\Documents and Settings\All Users\Desktop
Windows Vista and Windows 7: C:\Users\Public\Desktop

補充，使用批次檔將檔案取消隱藏，不過還是要先拿掉everyone的權限。

將下列這段文字貼到記事本以後存為 取消隱藏.bat，接著放到c槽根目錄，點右鍵 以系統管理者身份執行。

ECHO off
attrib -s -h -r /s /d

恢復開始功能表控制台之類的

點開始右鍵 / 內容 / 開始功能表下的 自訂
將控制台選以連結顯示、勾選 家用群組，勾選 執行命令，勾選搜尋程式和控制台
電腦，以連結顯示

ok，搞定。

重新啟動跳出Desktop.ini檔案

內容為：

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

注意，為-21787的才是病毒，其餘數字的大部分不是。

進到下面幾個位置，打開desktop.ini檔案，若shell32.dll後是 -21787 就把該desktop.ini刪除

C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs
C:\Documents and Settings\All Users\Start Menu

C:\Documents and Settings\使用者名稱\Start Menu\Programs\Startup
C:\Documents and Settings\使用者名稱\Start Menu\Programs
C:\Documents and Settings\使用者名稱\Start Menu 

若懶惰找，你只要在啟動跳出的desktop.ini記事本，檔案，另存新檔，就可以知道該desktop.ini位置在哪了

目前為止應該都沒問題了，祝大家解毒成功！！