迎小家五周年庆—『电脑咨询室』专版有奖活动【联合诚毅计算机协会强力推出】（试行）

戒律

autorun是去年整个集美大学流传病毒排名第一的
& t! h$ u. N# @* E
还深刻记得当初被整得好惨:m40

Jarvis

对于被autorun,inf害得比较惨的人
一般解决方案(一般彻底搞掉)
; d* v: R! Q/ @7 v( m" ?点击开始-----运行------cmd----（如果命令提示符是：C:\Documents and Settings\Administrator>    可以先输入cd..（注意2点也要输入哦）一直退到C:\>）然后输入attrib -s-h-r    (-s,-h,-r随便输入一个)
, s. W/ e4 P' t* g5 i# _如果有发现autorun.inf
- ]/ ~7 W$ G9 V) W- ~9 Y$ u再输入c:\>del  c:\autorun.inf /q/s/f/a 然后回车
) t, q& ]" f3 K然后跳到其他盘 从C盘到D盘可以输入c:\>d:  其他类似
再类似操作可以清楚autorun.inf
然后再去注册表
3 [6 v: k9 _$ L+ w! [在运行里面输入：regedit
找到Hkey_Local_Machine
' Q0 E/ y% U( [: d' qsoftware---microsoft-windows-currentversion--run
, |, ~; ^9 x8 y% Y/ |找到相应的注册表文件 删掉（先确认操作可行性，别删错了！）当然有可能其他目录也有
% @/ x4 b$ _6 l8 }操作完成重启，核查一下是否还有！
8 a7 E1 O; X% M& y在操作工程中请不要有双击打开银盘或者文件的操作，请习惯用右键点击打开。
; k$ ^5 r6 ^2 M' l7 p如果注册表文件删除不了，可以去下冰刃。
当然一般autorun.inf的病毒杀毒软件很多搞得掉！
; ]& K  h( A6 a. l5 L  b3 A我介绍的一种方案如果不行。请到这里发贴，有斑竹或者其他版忙解决的

梦舞

22cf87.exe 是什么进程？什么作用？

所在目录：C:\WINDOWS\system32\E4A428

9 o3 d1 c" D2 m# h[ 本帖最后由 梦舞 于 2008-9-21 03:48 编辑 ]

琼ヾ苍

windows 中没有这样的进程
* V! ?! W1 s% J2 W5 r  且看这个进程名 酷似病毒  请注意

霜の詠叹調

很详细啊，谢谢

small.天使

听说现在计协修电脑还要先登记呀？

琼ヾ苍

其实 我觉得 17楼的介绍的方法 过于繁琐 且 并不是每个人都会使用 Dos 系统
: g0 j" h1 t: v% p# q5 S8 u3 G    还不如 WinRAR来浏览删除 直观 方便 且安全。
  不过 其中一些技术 有兴趣的人还是值得学习的。

梦舞

原帖由 琼ヾ苍 于 2008-9-21 09:18 发表
windows 中没有这样的进程
( m" |4 B, i0 t& f3 k( @  且看这个进程名 酷似病毒  请注意

恩，我也知道没有这个进程，但是用KAV7.0.0125版本的没有查出病毒，360和eyrjql沙查也没有出现问题。

琼ヾ苍

病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
看看它是不是病毒。
: H7 R0 P" i9 g2 F5 `! k我邮箱是 CSW8923@126.COM

戒律

计协维修流程是：
. S5 x- W$ g* f+ t% B9 W! n
; n" J. @5 I- Q4 ^, u" T4 e4 t到计算机协会网站注册号码（要求输入的信息必须是真实的）

8 d; ]; q2 x4 ?: P: E- Y6 G8 I之后后台人员会审核，核对看你是不是协会的会员
9 l/ s) g& f- K" G
( |- E& ?. J( u1 l" c' ~然后之后你就可以用这个号码报修

% |9 E0 W/ h9 M. k, }报修后48小时内会有技术员上宿舍替你维修

修好之后会让你登记一下
9 i/ ~6 g2 g3 P! x. F* d
' [8 y( {7 `) M; r; V5 A5 o! K就OK了
8 p# e( u7 p: L+ Z0 A1 [# O
4 ?  q6 {2 ?' ?9 I6 `. V
注意：修电脑是免费的，且48小时是对会员的保证
          对于非会员，也可以报修，但全部排在会员后面
. W+ d/ |7 T$ F4 o          所以非会员报修不能保证什么时间段内有人上去维修

蘋^氺^缃漨

惠普笔记本经常重启，不是系统问题，，一般是什么状况，可能那个硬件问题吧

kiss4luna

为什么不免费提供19岁妙龄靓女一个？:m41 :m36 :m38 :m9 :m17

戒律

原因可能有几个：
5 f; W+ P: X1 q% ^" Q9 K2 w
一个是因为系统有自带的某两个补丁（网上看的）
  R) m% `% K/ j' M
还有就是不知道楼主有没有加过内存，有的话也可能是这个原因
! W/ f* s. B$ e0 S, J( z( B/ l
9 r' V: z4 k2 p+ V再来就是散热问题，有些本本设计不好，散热行很差，建议加个散热底座
3 O, [1 f# c; s
; _- s% {) _: [6 j' w) @不行的话用软件检测一下硬盘
# r7 ]$ n; a1 ~$ ^+ m/ j5 w# {
9 p% K) E+ E! p

梦舞

原帖由 琼ヾ苍 于 2008-9-21 13:18 发表
) E( \6 S: l4 U6 @. W: _2 x: G  c病毒库 更新速度并不一定比 新病毒产生的快.
4 P7 f* g! i4 V% E# r查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
9 ?' ]2 h+ N/ e' K; F看看它是不是病毒。
我邮箱是 CSW8923@126.COM

7 H! ?+ h4 T, D& P% v
5 }  ?) {% H0 r3 V
东西发了，请查收

琼ヾ苍

这个病毒 会佯装成 文件夹的样子 来欺骗用户.
( Z, U/ [$ |* @: p6 F- A" W* F如图
5 @+ z. \' K2 D$ F( y. U0 G所以建议你 最好 能取消勾选 文件夹选项 中的 隐藏已知类型的扩展名 。
; E& B  E3 l. }! s- P这样就能 防止被这样的病毒 蒙骗。
. b& w9 B; p* n3 N* @# z0 R, K

& A( {" m# p) H下面是我对该病毒的分析
( z' h# {, A" Y! q% O==================================================
2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
5 e4 g; C: M/ k, d' f进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
$ i* d, M+ f& Q' P% w- ?2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
进程路径:E:\文件中心\22CF87.EXE
* d0 r- N% X) I5 `! ^* R文件路径:(隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
. l$ m  A1 _: s) F0 H2008-09-23 20:13:01        文件保护(创建文件)     操作:允许
$ [: K1 w# B! t/ G' D' u  S进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:12:52        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
" P. O* \0 M7 ?, a6 O( `8 j文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\com.run
( K1 m% U; N2 a: ~" I2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
) V* s' G7 z' A进程路径:E:\文件中心\22CF87.EXE
7 @& O: N' c8 f; \% D. ~( ~文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\dp1.fne
$ J- ~7 t; k7 P2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
8 _% w* L# D! |+ u/ f* Q) K进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\RegEx.fnr
  q. m' e% ~% m2008-09-23 20:12:50        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
7 e4 G# h. g+ M文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\spec.fne
2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\internet.fne
2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\eAPI.fne
2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
& o" O) }7 W0 h2 }& R8 g3 f进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\shell.fne
2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
- U9 [5 {; Y1 J8 Z# C  K; ]进程路径:E:\文件中心\22CF87.EXE
! w4 J: O  O  l1 L文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\krnln.fnr
2008-09-23 20:12:47        文件保护(创建文件)     操作:允许
8 O1 b! S4 U( k% i; @7 [# W* k进程路径:E:\文件中心\22CF87.EXE
  G, Z& S+ V4 _1 n6 w文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4
============================
从上面报告上看 我们能看出该病毒并没对注册表有什么修改动作,
, e4 }6 J( C4 c9 U, {" ~; M但病毒在 系统盘中 包括system32 中都建立了多个随机名的可执行文件。
2 U* @6 n8 B. W5 o' A% P7 d同时在 system32 中 添加几个 随机的英文和数字组合 文件夹 里面包括各种病毒所产生的衍生物.
并且还会在 系统用户名文件夹中的临时文件中 建立多个 支持文件.
另外我还发现该病毒有个特性: 它能在U盘中 模仿已有的文件夹, 然后创建同样名字的假文件夹. 企图 蒙骗用户. 请小心。
; k8 b# ^4 F( Y+ k9 m5 U7 n) h这个病毒 我前几天在自己用来送去打印店的U盘上也有发现. 没想今天又遇见. 可见 这个病毒目前非常流行.
  z& v0 C% j% N+ `+ @% Y5 o, r
另附 杀软对该病毒认知程度报表
( P; L/ X$ o" R

Scanned time   : 2008/09/23 20:53:49 (CST)
0 x8 M. r4 i1 a3 H. z. JScanner results: 22%的杀软(8/36)报告发现病毒
5 t/ `& C: M/ f0 v+ t, }" y% P
File Name      : 22CF87.EXE
0 _% J7 b) B3 D4 e7 V$ b+ QFile Size      : 1513853 byte
/ Y) D! n$ x- U/ g+ D8 J1 ZFile Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 7d2fe87f12290f4f19b004541fa1b7a6
SHA1           : ddbd7724e7d3a1bf61772263242bac8e0f45c8e7
7 L7 S2 f) M' {) ~5 u; oScanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
6 v0 V4 y+ j2 o8 G2 H
* h5 I  W) J' a! i9 S+ c  c) _a-squared      4.0.0.14         2008.09.17        2008-09-17  1.45   -
安博士V3       2008.09.23.02   2008.09.23        2008-09-23  0.91   -
AntiVir        7.8.1.34        7.0.6.200         2008-09-23  2.35   TR/Dropper.Gen * 查出病毒
% I) I: X- n+ }  m7 pArcavir        1.0.5           200809222017      2008-09-22  1.29   Heur.W32 * 查出病毒
; i( b' B9 ~0 K. R' s, fAVAST!         3.0.1           080922-0          2008-09-22  0.11   -
AVG            7.5.52.442      270.7.1/1686      2008-09-23  1.94   -
  \1 @7 u) \6 M4 K. d, RBitDefender    7.60825.1781380 7.21008           2008-09-23  5.82   -
9 @4 O9 }7 H' A& mCA (VET)       9.0.0.143       31.6.6101         2008-09-23  5.01   -
' h4 X2 H! X% c: sClamAV         0.94            8316              2008-09-23  0.24   -
Comodo         2.11            2.0.0.655         2008-09-23  0.44   -
% K/ r3 Q) e8 a, a. u& \CP Secure      1.1.0.715       2008.09.23        2008-09-23  5.92   -
  Q8 g/ l9 A8 [  l1 z, N$ [* RDr.Web         4.44.0.9170     2008.09.23        2008-09-23  4.56   -
ewido          4.0.0.2         2008.09.23        2008-09-23  2.75   -
: Y1 T" V: z  W* L% nF-Prot         4.4.4.56        20080922          2008-09-22  1.03   W32/Nuj.A.gen!Eldorado (generic, not disinfectable) * 查出病毒
2 c! k1 f: D" u+ QF-Secure       5.51.6100       2008.09.23.04     2008-09-23  3.44   Trojan-Downloader.Win32.VB.hvo [AVP] * 查出病毒
; C  [; S% y& _$ t, I. {0 c飞塔           2.81-3.113      9.579             2008-09-22  0.25   Suspicious * 查出病毒
ViRobot        20080923        2008.09.23        2008-09-23  0.44   -
4 v) Q, C% K3 E4 J- G7 n& S( XIkarus         T3.1.01.34      2008.09.23.71510  2008-09-23  3.44   Trojan.Peed * 查出病毒
江民杀毒       11.0.706        2008.09.23        2008-09-23  1.22   -
. t6 P0 B( l, Z+ t) p卡巴斯基       5.5.10          2008.09.23        2008-09-23  0.04   Trojan-Downloader.Win32.VB.hvo  * 查出病毒
9 Y; O9 Z" a' _1 X1 [金山毒霸       2008.1.14.15    2008.9.23.17      2008-09-23  0.63   -
. Z0 n; h" P& `  D0 N迈克菲         5.3.00          5389              2008-09-22  1.92   -
: @0 s8 A$ D  X( a& MMicrosoft      1.3903          2008.09.23        2008-09-23  3.96   -
mks_vir        2.01            2008.09.23        2008-09-23  2.74   Heur.W32
Norman         5.93.01         5.93.00           2008-09-18  5.46   -
- F8 W+ }2 \: o; {" y9 s& h- C熊猫卫士       9.05.01         2008.09.22        2008-09-22  2.21   -
4 J# j# U7 T4 t( g' h0 Q趋势科技       8.700-1004      5.560.07          2008-09-23  0.05   -
2 e, ^" L1 V1 I+ |Quick Heal     9.50            2008.09.23        2008-09-23  2.05   -
1 G- {, S, i1 |2 R# \9 N0 h1 E瑞星           20.0            20.63.12.00       2008-09-23  0.90   -
Sophos         2.78.0          4.33              2008-09-23  1.89   -
9 X5 G; O$ t; K; ]5 S+ q! a' q3 dSunbelt        3.1.1662.1      2251              2008-09-22  0.47   -
9 p4 a% E1 v+ m) _+ r# [  g+ e* m赛门铁克       1.3.0.24        20080922.003      2008-09-22  0.51   -
; h  k7 g% M4 w) V( z+ QnProtect       2008-09-23.00   2132839           2008-09-23  4.62   -
The Hacker     6.3.0.9         v00091            2008-09-22  0.43   -
VBA32          3.12.8.5        20080922.0830     2008-09-22  3.66   -
VirusBuster    4.5.11.10       10.88.4/635596    2008-09-22  1.32   -



) L2 N  K3 U( q. \* c# a8 \: s/ G

* K0 X6 F# H$ v! [& T6 k" M+ \[ 本帖最后由 琼ヾ苍 于 2008-9-23 14:03 编辑 ]