设为首页收藏本站
切换到宽版 Language

 找回密码
 注册
搜索
无忧启动论坛»论坛 ::数码生活:: Windows技术讨论区 坛里高手进来一下,这个文件是怎么隐藏的? ...
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
返回列表 发新帖
查看: 2696|回复: 13

坛里高手进来一下,这个文件是怎么隐藏的?

[复制链接]
Civiwu
发表于 2007-9-30 23:26:10 | 显示全部楼层 |阅读模式
---> 升级权限
最近遨游老是不停的弹广告,经查,很可能是这个文件作怪:“C:\WINDOWS\DOWNLO~1\wtlasin.dll”. 它嵌入Rundll32.exe进程加入到启动组,以下是在注册表中找到的键值:

[HKEY_CLASSES_ROOT\CLSID\{6F89B2DE-5B1C-4E83-A3BE-7C3E8785DD81}\InprocServer32]
@="C:\\WINDOWS\\DOWNLO~1\\wtlasin.dll"
[HKEY_CLASSES_ROOT\TypeLib\{85051521-5AAA-421B-86DF-1C97AC66D9F7}\1.0\0\win32]
@="C:\\WINDOWS\\DOWNLO~1\\wtlasin.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnDock"="C:\\WINDOWS\\system32\\Rundll32.exe  \"C:\\WINDOWS\\DOWNLO~1\\wtlasin.dll\",WaitWindows"
[HKEY_LOCAL_MACHINE\SOFTWARE\MsnDock]
"path"="C:\\WINDOWS\\DOWNLO~1\\wtlasin.dll"

而且这些键值删除后,只要一打开IE或遨游便会自动生成。
更奇怪的是,我在C:\WINDOWS\Downloaded Program Files\目录下根本没找到wtlasin.dll这个文件(已打开显示隐藏文件和系统文件属性,如图:可以看到其他隐藏文件),使用Windows自带的查找命令也没有找到,甚至用WinPE启动也没有找到这个文件!!但这个文件确实存在,用WinRAR将Downloaded Program Files这个文件夹整体打包,就能在压缩包中发现这个文件的踪影!!!
请教坛内的高手,这个文件用什么技术隐藏的,如何让它显露原形呢?

[ 本帖最后由 Civiwu 于 2007-9-30 11:31 PM 编辑 ]
001.JPG
回复

使用道具 举报

Civiwu
 楼主| 发表于 2007-9-30 23:26:23 | 显示全部楼层
---> 升级权限
下面的注册表项目已修改了,但是没用!




Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
回复

使用道具 举报

发表于 2007-10-1 01:03:04 | 显示全部楼层
---> 升级权限
用WinRAR或TC之类的第三方管理器来看 默认在Windows下是看不到的 要看到需要修改CLSID相关键值
回复

使用道具 举报

hytmtet
发表于 2007-10-1 06:33:09 | 显示全部楼层
---> 升级权限
同意楼上
用WINRAR来查看这个文件夹
并删除里面的文件
回复

使用道具 举报

915
发表于 2007-10-1 20:55:10 | 显示全部楼层
---> 升级权限
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

Civiwu
 楼主| 发表于 2007-10-3 13:09:32 | 显示全部楼层
---> 升级权限
原帖由 EnsonKing 于 2007-10-1 01:03 AM 发表
用WinRAR或TC之类的第三方管理器来看 默认在Windows下是看不到的 要看到需要修改CLSID相关键值



具体如何修改呢?
回复

使用道具 举报

6618
发表于 2007-10-3 13:53:37 | 显示全部楼层
---> 升级权限
用PE启动也没找到这个文件,有点奇怪。
回复

使用道具 举报

发表于 2007-10-3 20:22:47 | 显示全部楼层
---> 升级权限
原帖由 Civiwu 于 2007-10-3 01:09 PM 发表
具体如何修改呢?

注册表还是不要改了 如果你只是想看到的话 最简单的方法是去掉这个文件夹的系统属性 等你不需要的时候再把属性加上即可 其实 有时候看得见未必会是一件好事
回复

使用道具 举报

zgzxp
发表于 2007-10-7 19:15:52 | 显示全部楼层
---> 升级权限
原帖由 Civiwu 于 2007-9-30 11:26 PM 发表
最近遨游老是不停的弹广告,经查,很可能是这个文件作怪:“C:\WINDOWS\DOWNLO~1\wtlasin.dll”. 它嵌入Rundll32.exe进程加入到启动组,以下是在注册表中找到的键值:

而且这些键值删除后,只要一打开IE或遨 ...



你只需要将DOWNLO~1文件夹去掉系统和只读属性再打开就可以看见了
回复

使用道具 举报

zgzxp
发表于 2007-10-7 19:18:23 | 显示全部楼层
---> 升级权限
原帖由 EnsonKing 于 2007-10-3 08:22 PM 发表

注册表还是不要改了 如果你只是想看到的话 最简单的方法是去掉这个文件夹的系统属性 等你不需要的时候再把属性加上即可 其实 有时候看得见未必会是一件好事



完全同意

补充一点

只读属性也有可能哦,如果去掉系统属性仍然不能看见
再去掉只读属性即可
回复

使用道具 举报

GDH
发表于 2007-11-26 03:07:40 | 显示全部楼层
---> 升级权限
其实楼主的意思想学那个隐藏的技术吧,隐藏达人来传教传教吧,我也想学。。。
回复

使用道具 举报

hero123
发表于 2007-11-26 09:55:19 | 显示全部楼层
---> 升级权限
这类文件应该都定义成系统文件,文件夹选项中---隐藏受保护的操作系统文件,勾上应该就能看到吧~
001.JPG
回复

使用道具 举报

发表于 2007-11-26 10:01:09 | 显示全部楼层
---> 升级权限
那个文件夹装的都是游览器的插件,在线安装的。按 类 排列的,一般情况下是看不到的。

不过可以用第三方软件查看、卸载,卸载的话建议用Snreg。
回复

使用道具 举报

发表于 2007-11-26 10:05:37 | 显示全部楼层
---> 升级权限
最好用TC软件来查看他,同时也能删除他!
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1|闽公网安备35020302032614号 )

GMT+8, 2026-4-23 15:58

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表