回复 15楼 霜の詠叹調 的帖子
autorun是去年整个集美大学流传病毒排名第一的还深刻记得当初被整得好惨:m40 对于被autorun,inf害得比较惨的人
一般解决方案(一般彻底搞掉)
点击开始-----运行------cmd----(如果命令提示符是:C:\Documents and Settings\Administrator> 可以先输入cd..(注意2点也要输入哦)一直退到C:\>)然后输入attrib -s-h-r (-s,-h,-r随便输入一个)
如果有发现autorun.inf
再输入c:\>delc:\autorun.inf /q/s/f/a 然后回车
然后跳到其他盘 从C盘到D盘可以输入c:\>d:其他类似
再类似操作可以清楚autorun.inf
然后再去注册表
在运行里面输入:regedit
找到Hkey_Local_Machine
software---microsoft-windows-currentversion--run
找到相应的注册表文件 删掉(先确认操作可行性,别删错了!)当然有可能其他目录也有
操作完成重启,核查一下是否还有!
在操作工程中请不要有双击打开银盘或者文件的操作,请习惯用右键点击打开。
如果注册表文件删除不了,可以去下冰刃。
当然一般autorun.inf的病毒杀毒软件很多搞得掉!
我介绍的一种方案如果不行。请到这里发贴,有斑竹或者其他版忙解决的 22cf87.exe 是什么进程?什么作用?
所在目录:C:\WINDOWS\system32\E4A428
[ 本帖最后由 梦舞 于 2008-9-21 03:48 编辑 ] windows 中没有这样的进程
且看这个进程名 酷似病毒请注意
回复 17楼 ˇ瑶琪JONNA 的帖子
很详细啊,谢谢 听说现在计协修电脑还要先登记呀?回复 17楼 ˇ瑶琪JONNA 的帖子
其实 我觉得 17楼的介绍的方法 过于繁琐 且 并不是每个人都会使用 Dos 系统还不如 WinRAR来浏览删除 直观 方便 且安全。
不过 其中一些技术 有兴趣的人还是值得学习的。 原帖由 琼ヾ苍 于 2008-9-21 09:18 发表 http://www.chengyi.org/bbs/images/common/back.gif
windows 中没有这样的进程
且看这个进程名 酷似病毒请注意
恩,我也知道没有这个进程,但是用KAV7.0.0125版本的没有查出病毒,360和eyrjql沙查也没有出现问题。 病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...你可以 把那个文件发到我邮箱上我可以帮你做分析
看看它是不是病毒。
我邮箱是 CSW8923@126.COM 计协维修流程是:
到计算机协会网站注册号码(要求输入的信息必须是真实的)
之后后台人员会审核,核对看你是不是协会的会员
然后之后你就可以用这个号码报修
报修后48小时内会有技术员上宿舍替你维修
修好之后会让你登记一下
就OK了
注意:修电脑是免费的,且48小时是对会员的保证
对于非会员,也可以报修,但全部排在会员后面
所以非会员报修不能保证什么时间段内有人上去维修 惠普笔记本经常重启,不是系统问题,,一般是什么状况,可能那个硬件问题吧 为什么不免费提供19岁妙龄靓女一个?:m41 :m36 :m38 :m9 :m17 原因可能有几个:
一个是因为系统有自带的某两个补丁(网上看的)
还有就是不知道楼主有没有加过内存,有的话也可能是这个原因
再来就是散热问题,有些本本设计不好,散热行很差,建议加个散热底座
不行的话用软件检测一下硬盘
原帖由 琼ヾ苍 于 2008-9-21 13:18 发表 http://www.chengyi.org/bbs/images/common/back.gif
病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...你可以 把那个文件发到我邮箱上我可以帮你做分析
看看它是不是病毒。
我邮箱是 CSW8923@126.COM
东西发了,请查收
回复 29楼 梦舞 的帖子
这个病毒 会佯装成 文件夹的样子 来欺骗用户.如图
所以建议你 最好 能取消勾选 文件夹选项 中的 隐藏已知类型的扩展名 。
这样就能 防止被这样的病毒 蒙骗。
下面是我对该病毒的分析
==================================================
2008-09-23 20:13:01 文件保护(修改文件) 操作:阻止
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:13:01 文件保护(修改文件) 操作:阻止
进程路径:E:\文件中心\22CF87.EXE
文件路径:(隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:13:01 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:12:52 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\com.run
2008-09-23 20:12:51 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\dp1.fne
2008-09-23 20:12:51 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\RegEx.fnr
2008-09-23 20:12:50 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\spec.fne
2008-09-23 20:12:49 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\internet.fne
2008-09-23 20:12:49 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\eAPI.fne
2008-09-23 20:12:48 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\shell.fne
2008-09-23 20:12:48 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\krnln.fnr
2008-09-23 20:12:47 文件保护(创建文件) 操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4
============================
从上面报告上看 我们能看出该病毒并没对注册表有什么修改动作,
但病毒在 系统盘中 包括system32 中都建立了多个随机名的可执行文件。
同时在 system32 中 添加几个 随机的英文和数字组合 文件夹 里面包括各种病毒所产生的衍生物.
并且还会在 系统用户名文件夹中的临时文件中 建立多个 支持文件.
另外我还发现该病毒有个特性: 它能在U盘中 模仿已有的文件夹, 然后创建同样名字的假文件夹. 企图 蒙骗用户. 请小心。
这个病毒 我前几天在自己用来送去打印店的U盘上也有发现. 没想今天又遇见. 可见 这个病毒目前非常流行.
另附 杀软对该病毒认知程度报表
Scanned time : 2008/09/23 20:53:49 (CST)
Scanner results: 22%的杀软(8/36)报告发现病毒
File Name : 22CF87.EXE
File Size : 1513853 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 7d2fe87f12290f4f19b004541fa1b7a6
SHA1 : ddbd7724e7d3a1bf61772263242bac8e0f45c8e7
Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.0.0.14 2008.09.17 2008-09-171.45 -
安博士V3 2008.09.23.02 2008.09.23 2008-09-230.91 -
AntiVir 7.8.1.34 7.0.6.200 2008-09-232.35 TR/Dropper.Gen * 查出病毒
Arcavir 1.0.5 200809222017 2008-09-221.29 Heur.W32 * 查出病毒
AVAST! 3.0.1 080922-0 2008-09-220.11 -
AVG 7.5.52.442 270.7.1/1686 2008-09-231.94 -
BitDefender 7.60825.1781380 7.21008 2008-09-235.82 -
CA (VET) 9.0.0.143 31.6.6101 2008-09-235.01 -
ClamAV 0.94 8316 2008-09-230.24 -
Comodo 2.11 2.0.0.655 2008-09-230.44 -
CP Secure 1.1.0.715 2008.09.23 2008-09-235.92 -
Dr.Web 4.44.0.9170 2008.09.23 2008-09-234.56 -
ewido 4.0.0.2 2008.09.23 2008-09-232.75 -
F-Prot 4.4.4.56 20080922 2008-09-221.03 W32/Nuj.A.gen!Eldorado (generic, not disinfectable) * 查出病毒
F-Secure 5.51.6100 2008.09.23.04 2008-09-233.44 Trojan-Downloader.Win32.VB.hvo * 查出病毒
飞塔 2.81-3.113 9.579 2008-09-220.25 Suspicious * 查出病毒
ViRobot 20080923 2008.09.23 2008-09-230.44 -
Ikarus T3.1.01.34 2008.09.23.715102008-09-233.44 Trojan.Peed * 查出病毒
江民杀毒 11.0.706 2008.09.23 2008-09-231.22 -
卡巴斯基 5.5.10 2008.09.23 2008-09-230.04 Trojan-Downloader.Win32.VB.hvo* 查出病毒
金山毒霸 2008.1.14.15 2008.9.23.17 2008-09-230.63 -
迈克菲 5.3.00 5389 2008-09-221.92 -
Microsoft 1.3903 2008.09.23 2008-09-233.96 -
mks_vir 2.01 2008.09.23 2008-09-232.74 Heur.W32
Norman 5.93.01 5.93.00 2008-09-185.46 -
熊猫卫士 9.05.01 2008.09.22 2008-09-222.21 -
趋势科技 8.700-1004 5.560.07 2008-09-230.05 -
Quick Heal 9.50 2008.09.23 2008-09-232.05 -
瑞星 20.0 20.63.12.00 2008-09-230.90 -
Sophos 2.78.0 4.33 2008-09-231.89 -
Sunbelt 3.1.1662.1 2251 2008-09-220.47 -
赛门铁克 1.3.0.24 20080922.003 2008-09-220.51 -
nProtect 2008-09-23.00 2132839 2008-09-234.62 -
The Hacker 6.3.0.9 v00091 2008-09-220.43 -
VBA32 3.12.8.5 20080922.0830 2008-09-223.66 -
VirusBuster 4.5.11.10 10.88.4/635596 2008-09-221.32 -
[ 本帖最后由 琼ヾ苍 于 2008-9-23 14:03 编辑 ]