一陣嘻，噓!

唉，前陣子的System fix系列病毒我也中招了。

我 很 確 定 是 Firefox 的 原 因 ...

因為ie不用已久，這陣子都在忙case也沒時間抓影片、玩遊戲。
中毒經過就是我逛著國外的網頁作品集，一個一個開的突然火狐就強制關掉了。

一開始不以為意，因為國外網站有時候js loading出錯就會掛掉，常有的事。  重開以火狐以後沒幾分鐘又跳掉。

接著電腦就如同這類偽修復病毒的特徵，桌面瞬間很乾淨，通通都被隱藏了。  佈景也給我關掉，讓我的桌面就很冷清..

接著就是該類病毒特徵，跳出一堆錯誤，問你要不要修復。  不修復就給你重開機... =   =+

這隻病毒長這樣，給看倌們瞧瞧  不曉得這種病毒有沒有固定名稱，留個檔案名稱讓有緣人進來：FtJthnNSvuydIr.exe
位置呢，w7 64位元： C:\ProgramData

  

 

病毒似乎不難處理，重新開機進入安全模式以後，使用 Starter就可以找到，基於我一找到就先拿掉了，就沒拍截圖給各位了。
檢測可疑的開機程序（程式），這邊推薦使用軟體 Starter
http://codestuff.obninsk.ru/Starter56208.zip （官方載點）

 

找病毒藏身處

怎麼找很簡單，看路徑，也就是值的位置在C:\ProgramData底下 ，長的又像是修復軟體，檔案名稱又很長，那就是他了！
怕誤刪怎麼辦？  先把他勾掉就可以了，不用刪除。  重開機以後正常那就是刪對啦！
路徑圖如下底線處 （當然下圖底線的程式是正常的，只是範例而已）
 

 

恢復隱藏檔

 

下面這些先挑自個兒的作業系統拿來恢復吧，大概可以恢復一些基本的，其餘的等等繼續教學。

Windows 2000 US English
http://download.bleepingcomputer.com/grinler/fakehdd/win-2000-sm-reset.exe

Windows XP Pro 32-bit US English - This should also work in other 32 bit version of Windows XP but I have nothing to compare against.
http://download.bleepingcomputer.com/grinler/fakehdd/winxp-pro-32bit-sm-reset.exe

Windows Vista 32-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/vista-32-sm-reset.exe

Windows Vista 64-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/vista-64-sm-reset.exe

Windows 7 32-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/win7-32-sm-reset.exe

Windows 7 64-bit US English
http://download.bleepingcomputer.com/grinler/fakehdd/win7-x64-sm-reset.exe

 

刪除Everyone的權限

有人說：想恢復時，出現 位置無法使用、存取被拒、無法存取 怎辦？ 
 

 

很簡單，被打槍了換下一個 被病毒更改了存取權限的問題。
至於權限怎麼調整呢？

對該資料夾按右鍵 / 內容 / 安全性
會看到Everyone在最上面。
 

點一下編輯，把Everyone選起來以後移除。

 

接著將你的使用者名稱（我的是Administrators）框選以後，將下面的權限勾選完全控制，按下套用、確定。
 

接下來點下方的進階
 

進去後點變更權限，接著將你的使用者名稱選起來
勾選 以這個物件的繼承權限取代所有子物件的權限
 

通通確定以後，ok，你有權限了，就能進去了。
 

除了desktop.ini不要選以外，其他選起來右鍵，取消隱藏。
如果還是不能取消隱藏，出現權限問題，則要針對該資料夾重新一次刪除everyone權限，把使用者權限加到完全控制。

 

不要肖想一次全選勾掉隱藏，他會灰色反白不能按。  因為有些系統檔案是不能取消隱藏的，另外還有desktop.ini 這種也是不能取消。
只要不要勾選到那些，其他的框再多也能一次恢復！

這步驟是最繁瑣的，一堆資料夾檔案要移除掉限制存取的Everyone權限，只能慢慢來了。
看倌若找到相關恢復軟體再麻煩提供一下，由衷感謝！

 

最後再次檢查smtmp內的檔案有沒有恢復，我是直接複製回去，不取代這樣。 C:\Documents and Settings\使用者名稱\Local Settings\Temp

修復開始功能表

從temp底下的smtmp就是開始功能表的捷徑被病毒移動的位置。
所以將System Fix.lnk刪除以後即可進行恢復。
底下內容從 http://www.bleepingcomputer.com/forums/topic405109.html 整理

temp/smtmp底下對應原始位置

%Temp%\smtmp\1:

Windows XP: C:\Documents and Settings\All Users\Start Menu
Windows Vista and Windows 7: C:\ProgramData\Microsoft\Windows\Start Menu

%Temp%\smtmp\2\:

Windows XP: C:\Documents and Settings\<your login name here>\Application Data\Microsoft\Internet Explorer\Quick Launch\
Windows Vista and Windows 7: C:\Users\<your login name here>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\

%Temp%\smtmp\3\:

Windows XP: Does not exist in XP. Therefore do not be concerned if %Temp%\smtmp\3 does not exist on Windows XP.
Windows Vista and Windows 7: C:\Users\<your login name here>\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

%Temp%\smtmp\4\:

Windows XP: C:\Documents and Settings\All Users\Desktop
Windows Vista and Windows 7: C:\Users\Public\Desktop

 

補充，使用批次檔將檔案取消隱藏，不過還是要先拿掉everyone的權限。

將下列這段文字貼到記事本以後存為 取消隱藏.bat，接著放到c槽根目錄，點右鍵 以系統管理者身份執行。

ECHO off
attrib -s -h -r /s /d

 

 

恢復開始功能表控制台之類的

點開始右鍵 / 內容 / 開始功能表下的 自訂
將控制台選以連結顯示、勾選 家用群組，勾選 執行命令，勾選搜尋程式和控制台
電腦，以連結顯示

ok，搞定。

 

重新啟動跳出Desktop.ini檔案

內容為：

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

注意，為-21787的才是病毒，其餘數字的大部分不是。

進到下面幾個位置，打開desktop.ini檔案，若shell32.dll後是 -21787 就把該desktop.ini刪除

C:\Documents and Settings\All Users\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs
C:\Documents and Settings\All Users\Start Menu

C:\Documents and Settings\使用者名稱\Start Menu\Programs\Startup
C:\Documents and Settings\使用者名稱\Start Menu\Programs
C:\Documents and Settings\使用者名稱\Start Menu 

若懶惰找，你只要在啟動跳出的desktop.ini記事本，檔案，另存新檔，就可以知道該desktop.ini位置在哪了

 

目前為止應該都沒問題了，祝大家解毒成功！！

 

 

ok，這篇單純是因為google下的關鍵字第一篇找不到能夠直接用的，就找自己已經完成可用的方式做個紀錄。
前面幾篇過於冗長，不必要的資料太多了..
基於有點批評，就不說我下了什麼關鍵字了。 （或許是關鍵字下的太精簡？）

照例一行關鍵字：DIV、CSS、z-index、flash、swf、圖層、覆蓋、被蓋住、遮住、absolute

相信網頁設計者會碰到使用flash時，將原本在其上的圖層蓋住，而這篇文章就是講解如何將其恢復到正常的圖層位置。

通常在越上方的圖層會將下方的圖層蓋住。

例如：

<div id="top">我是上方圖層</div>
<div id="banner">我是banner圖層</div>

正常情況下top圖層若使用 position:absolute; ，則在相同位置時，top的資料會蓋住下方的banner圖層。
但flash通常都會浮在最上方，跳脫了原本的層次，所以下面將講解如何處理。

處理方式為將置入的object（物件）標籤 embed加入個參數 wmode="transparent" 即可。
保險的話在加入 <param name="wmode" value="transparent"> ，並在css上方div圖層加入z-index:10，而下方div則加入z-index:1。


看不懂對不對？ 沒錯，google第一頁的就是這樣，不清不楚的。
下面例子：（使用meebo的meebo me做示範）
環境解釋：top圖層放圖片、banner圖層放flash檔。


原始：

<div id="top"><img src="logo.png" alt="logo"  href="#"  /></div>
<div id="banner">
　　<object width="190" height="275" >
　　　　<param name="movie" value="http://widget.meebo.com/mm.swf?"/>
　　　　<embed src="http://widget.meebo.com/mm.swf?" type="application/x-shockwave-flash" width="190" height="275"></embed>
　　</object>
</div>


增加部份：（使用粗體橘字）

<div id="top"><img src="logo.png" alt="logo"  href="#"  /></div>

<div id="banner">

　　<object width="190" height="275" >

　　　　<param name="movie" value="http://widget.meebo.com/mm.swf?"/>
　　　　<param name="wmode" value="transparent">

　　　　<embed  wmode="transparent"  src="http://widget.meebo.com/mm.swf?"
type="application/x-shockwave-flash" width="190"
height="275"></embed>

　　</object>

</div>


------------手工分隔線-------------

簡單來說只需要在 object 標籤內加入 <param name="wmode" value="transparent">
並在embed標籤內，認src參數，在其加入 wmode="transparent" 即可。

而加入後也會有flash背景透明的效果。


css部份的話，可以用此方式：（也是用上方的top跟banner例子來舉例。）

連結/匯入方式

#top {
position:absolute;
z-index:10;
}

#banner{
position:absolute;
z-index:1;
}

z-index上只要數字越大，圖層將會在越上面。下方的圖層則會被上方的遮住（若為同一位置的話）。



HTML內方式

<div id="top" style="position:absolute; z-index:10;" ><img src="logo.png" alt="logo"  href="#"  /></div>
<div id="banner" style="position:absolute; z-index:1;" > .... 後面省略


------------------------------------
後記：

因為meebo me widget的標題不能使用中文，本來打算使用gif檔用圖層方式覆蓋，但若使用了 wmode="transparent" ，則無法輸入中文，所以只能作罷。

以上
因為google第一頁沒辦法直接處理所以發文 XD