迎小家五周年庆—『电脑咨询室』专版有奖活动【联合诚毅计算机协会强力推出】（试行）

戒律

autorun是去年整个集美大学流传病毒排名第一的

还深刻记得当初被整得好惨:m40

Jarvis

对于被autorun,inf害得比较惨的人
0 L' @& @8 O3 _一般解决方案(一般彻底搞掉)
点击开始-----运行------cmd----（如果命令提示符是：C:\Documents and Settings\Administrator>    可以先输入cd..（注意2点也要输入哦）一直退到C:\>）然后输入attrib -s-h-r    (-s,-h,-r随便输入一个)
如果有发现autorun.inf
# `# P: |6 Y' F再输入c:\>del  c:\autorun.inf /q/s/f/a 然后回车
/ [& I4 F2 z2 c: M% P* x9 {9 W2 g& I然后跳到其他盘 从C盘到D盘可以输入c:\>d:  其他类似
再类似操作可以清楚autorun.inf
8 B4 ?, r& S3 r  _0 P然后再去注册表
在运行里面输入：regedit
找到Hkey_Local_Machine
software---microsoft-windows-currentversion--run
- }: d7 S( ^7 J# S: N找到相应的注册表文件 删掉（先确认操作可行性，别删错了！）当然有可能其他目录也有
操作完成重启，核查一下是否还有！
在操作工程中请不要有双击打开银盘或者文件的操作，请习惯用右键点击打开。
如果注册表文件删除不了，可以去下冰刃。
* q7 x2 `6 p/ O  S' H( F: d当然一般autorun.inf的病毒杀毒软件很多搞得掉！
$ G1 e" y( f* w/ Y  \3 y我介绍的一种方案如果不行。请到这里发贴，有斑竹或者其他版忙解决的

梦舞

22cf87.exe 是什么进程？什么作用？
, e4 U2 A8 _) A- }+ Q; x; X7 U
# ~: d* _6 X8 Q' ?( Y! E" j所在目录：C:\WINDOWS\system32\E4A428

: l1 y3 s6 `: p! K$ X0 i[ 本帖最后由 梦舞 于 2008-9-21 03:48 编辑 ]

琼ヾ苍

windows 中没有这样的进程
2 c7 C% y/ C+ \+ ^  v2 y- W! A/ P9 s  且看这个进程名 酷似病毒  请注意

霜の詠叹調

很详细啊，谢谢

small.天使

听说现在计协修电脑还要先登记呀？

琼ヾ苍

其实 我觉得 17楼的介绍的方法 过于繁琐 且 并不是每个人都会使用 Dos 系统
! ^9 P% H2 _/ v2 N% q/ C    还不如 WinRAR来浏览删除 直观 方便 且安全。
  不过 其中一些技术 有兴趣的人还是值得学习的。

梦舞

原帖由 琼ヾ苍 于 2008-9-21 09:18 发表
# U9 q( {/ q* z1 l7 c1 S" a7 Lwindows 中没有这样的进程
" Z% w; T6 f6 q$ L; g6 g  且看这个进程名 酷似病毒  请注意

0 U& _+ Q; V, B  }9 e1 r恩，我也知道没有这个进程，但是用KAV7.0.0125版本的没有查出病毒，360和eyrjql沙查也没有出现问题。

琼ヾ苍

病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
9 Z1 H2 b: w' w% F& O; K9 k2 v# ^ 看看它是不是病毒。
我邮箱是 CSW8923@126.COM

戒律

计协维修流程是：
: c- t' M. a4 ]# W3 d  S6 T
到计算机协会网站注册号码（要求输入的信息必须是真实的）

+ u$ b6 A/ p* l! l( F2 G之后后台人员会审核，核对看你是不是协会的会员
2 ]% K, d& x- _/ Y& W! G
然后之后你就可以用这个号码报修
; U0 y5 _3 H& T# n
报修后48小时内会有技术员上宿舍替你维修
; G$ C5 h+ t+ E' ?
, e1 l7 M- @- m4 D4 {' d修好之后会让你登记一下

" A, r) J: t1 N% F8 N就OK了

+ G) g) e" p) T
注意：修电脑是免费的，且48小时是对会员的保证
( a5 h0 _7 D2 A/ Q- ~          对于非会员，也可以报修，但全部排在会员后面
          所以非会员报修不能保证什么时间段内有人上去维修

蘋^氺^缃漨

惠普笔记本经常重启，不是系统问题，，一般是什么状况，可能那个硬件问题吧

kiss4luna

为什么不免费提供19岁妙龄靓女一个？:m41 :m36 :m38 :m9 :m17

戒律

原因可能有几个：
! M" I3 n. B/ M- f$ S+ q( r
9 _( H6 n0 x; E6 I+ L" A9 W一个是因为系统有自带的某两个补丁（网上看的）
0 g+ w9 q  O0 @
还有就是不知道楼主有没有加过内存，有的话也可能是这个原因

) F$ \+ I8 T5 I& K. `6 X8 h: r再来就是散热问题，有些本本设计不好，散热行很差，建议加个散热底座
7 F, D; W  D% U) o; @9 D" b4 ?' C6 N
不行的话用软件检测一下硬盘

梦舞

原帖由 琼ヾ苍 于 2008-9-21 13:18 发表
3 Q+ s0 M# C. E+ i: C' {病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
看看它是不是病毒。
7 a4 m3 O/ Q1 F% x我邮箱是 CSW8923@126.COM

) Z3 e1 Y) s' O& A+ H% X
6 Q: g. C7 F( D$ i; d& X5 o7 V
  e: k% |" S6 L9 R东西发了，请查收

琼ヾ苍

这个病毒 会佯装成 文件夹的样子 来欺骗用户.
如图
2 v8 c: m0 [8 z( \所以建议你 最好 能取消勾选 文件夹选项 中的 隐藏已知类型的扩展名 。
这样就能 防止被这样的病毒 蒙骗。


下面是我对该病毒的分析
- [7 D+ V% Y+ k$ m==================================================
2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
6 c! a# s0 }& r+ p" w8 |7 K进程路径:E:\文件中心\22CF87.EXE
+ {$ X( l9 j* L% R; c0 L文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
. L* ?  n) R/ q( k7 z2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
6 u* e2 n; U! p进程路径:E:\文件中心\22CF87.EXE
文件路径:(隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:13:01        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:12:52        文件保护(创建文件)     操作:允许
& |1 a! R; P: V" V" v进程路径:E:\文件中心\22CF87.EXE
( X% @& b$ {" a文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\com.run
2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
/ |& [* i# Y! I! V$ h& w文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\dp1.fne
. Y+ \- O6 ^) t7 H# ~) J- v9 R2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
3 m8 `) m; D* Q) O$ `* N) a- Y文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\RegEx.fnr
2008-09-23 20:12:50        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\spec.fne
1 m9 ^1 ?9 q& T9 a* L2 t2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\internet.fne
% e6 D4 G* H% D1 C  b2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
5 B; g' u! z$ x# x4 L( x4 c, F进程路径:E:\文件中心\22CF87.EXE
( r( ~+ ]$ ~. Q! v5 \文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\eAPI.fne
2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
" Q# U; t2 ]7 z7 N0 n9 g进程路径:E:\文件中心\22CF87.EXE
& {) O- t$ C$ Y' M文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\shell.fne
2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\krnln.fnr
+ y, K# n3 @/ b- f/ F2008-09-23 20:12:47        文件保护(创建文件)     操作:允许
+ f4 ^9 @! `0 z  p9 R) i- x进程路径:E:\文件中心\22CF87.EXE
* b' e' I+ N8 n  Q+ t文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4
============================
8 T* L8 o. D5 T从上面报告上看 我们能看出该病毒并没对注册表有什么修改动作,
但病毒在 系统盘中 包括system32 中都建立了多个随机名的可执行文件。
8 e5 h# A. J& H. m8 s$ [/ ]同时在 system32 中 添加几个 随机的英文和数字组合 文件夹 里面包括各种病毒所产生的衍生物.
' Q4 {8 D9 D2 M4 {' I( n' @并且还会在 系统用户名文件夹中的临时文件中 建立多个 支持文件.
另外我还发现该病毒有个特性: 它能在U盘中 模仿已有的文件夹, 然后创建同样名字的假文件夹. 企图 蒙骗用户. 请小心。
这个病毒 我前几天在自己用来送去打印店的U盘上也有发现. 没想今天又遇见. 可见 这个病毒目前非常流行.

5 G( ~; T( n0 ?另附 杀软对该病毒认知程度报表
5 d2 O  K, r* l% I2 ?
3 v" J: M% @. M8 s' w4 @
Scanned time   : 2008/09/23 20:53:49 (CST)
1 a- H; v/ @# `# ~) a3 q' JScanner results: 22%的杀软(8/36)报告发现病毒

File Name      : 22CF87.EXE
File Size      : 1513853 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
- h7 n6 O( A3 BMD5            : 7d2fe87f12290f4f19b004541fa1b7a6
SHA1           : ddbd7724e7d3a1bf61772263242bac8e0f45c8e7
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
' e9 n6 `: R0 I$ B
. V+ H7 p  K9 i5 S& fa-squared      4.0.0.14         2008.09.17        2008-09-17  1.45   -
$ E1 D" w, b; l. k. }2 A安博士V3       2008.09.23.02   2008.09.23        2008-09-23  0.91   -
AntiVir        7.8.1.34        7.0.6.200         2008-09-23  2.35   TR/Dropper.Gen * 查出病毒
Arcavir        1.0.5           200809222017      2008-09-22  1.29   Heur.W32 * 查出病毒
AVAST!         3.0.1           080922-0          2008-09-22  0.11   -
- a5 g: L: s" i3 F  kAVG            7.5.52.442      270.7.1/1686      2008-09-23  1.94   -
BitDefender    7.60825.1781380 7.21008           2008-09-23  5.82   -
- Q! J2 D+ M5 K; }: V+ B* R4 WCA (VET)       9.0.0.143       31.6.6101         2008-09-23  5.01   -
& N: X/ g7 {% L. ~4 H" u7 wClamAV         0.94            8316              2008-09-23  0.24   -
Comodo         2.11            2.0.0.655         2008-09-23  0.44   -
CP Secure      1.1.0.715       2008.09.23        2008-09-23  5.92   -
. C3 f" I9 h, V3 b- G+ XDr.Web         4.44.0.9170     2008.09.23        2008-09-23  4.56   -
ewido          4.0.0.2         2008.09.23        2008-09-23  2.75   -
F-Prot         4.4.4.56        20080922          2008-09-22  1.03   W32/Nuj.A.gen!Eldorado (generic, not disinfectable) * 查出病毒
+ m2 l) Y6 H( b# ^% F; TF-Secure       5.51.6100       2008.09.23.04     2008-09-23  3.44   Trojan-Downloader.Win32.VB.hvo [AVP] * 查出病毒
1 q* P, }' f3 u! t飞塔           2.81-3.113      9.579             2008-09-22  0.25   Suspicious * 查出病毒
ViRobot        20080923        2008.09.23        2008-09-23  0.44   -
) I* l( ?6 j5 H3 f) SIkarus         T3.1.01.34      2008.09.23.71510  2008-09-23  3.44   Trojan.Peed * 查出病毒
江民杀毒       11.0.706        2008.09.23        2008-09-23  1.22   -
卡巴斯基       5.5.10          2008.09.23        2008-09-23  0.04   Trojan-Downloader.Win32.VB.hvo  * 查出病毒
$ h) M% w+ T: M# j3 d7 r% w金山毒霸       2008.1.14.15    2008.9.23.17      2008-09-23  0.63   -
迈克菲         5.3.00          5389              2008-09-22  1.92   -
Microsoft      1.3903          2008.09.23        2008-09-23  3.96   -
mks_vir        2.01            2008.09.23        2008-09-23  2.74   Heur.W32
Norman         5.93.01         5.93.00           2008-09-18  5.46   -
熊猫卫士       9.05.01         2008.09.22        2008-09-22  2.21   -
: X0 A8 X; \7 D( }趋势科技       8.700-1004      5.560.07          2008-09-23  0.05   -
4 c3 `( j6 B& x  `: q! n8 qQuick Heal     9.50            2008.09.23        2008-09-23  2.05   -
瑞星           20.0            20.63.12.00       2008-09-23  0.90   -
Sophos         2.78.0          4.33              2008-09-23  1.89   -
Sunbelt        3.1.1662.1      2251              2008-09-22  0.47   -
# ^" Q5 b3 ^9 j; B+ ?- s2 o赛门铁克       1.3.0.24        20080922.003      2008-09-22  0.51   -
; `: I% ], Z7 T" k& f9 {nProtect       2008-09-23.00   2132839           2008-09-23  4.62   -
The Hacker     6.3.0.9         v00091            2008-09-22  0.43   -
5 Y. Z5 {2 |' ?; C* ^VBA32          3.12.8.5        20080922.0830     2008-09-22  3.66   -
VirusBuster    4.5.11.10       10.88.4/635596    2008-09-22  1.32   -
/ z5 O2 p  c1 Z! ]

  b! v" G0 D2 }4 n/ w0 E% |8 U


[ 本帖最后由 琼ヾ苍 于 2008-9-23 14:03 编辑 ]