迎小家五周年庆—『电脑咨询室』专版有奖活动【联合诚毅计算机协会强力推出】（试行）

戒律

autorun是去年整个集美大学流传病毒排名第一的
0 ], k. Q4 m- S" Z& F
还深刻记得当初被整得好惨:m40

Jarvis

对于被autorun,inf害得比较惨的人
3 I. }/ X! r" f1 C( r一般解决方案(一般彻底搞掉)
: {  K+ H, A& ~  O' k' l2 ^点击开始-----运行------cmd----（如果命令提示符是：C:\Documents and Settings\Administrator>    可以先输入cd..（注意2点也要输入哦）一直退到C:\>）然后输入attrib -s-h-r    (-s,-h,-r随便输入一个)
' S2 G0 t4 h/ ?' l) \# y如果有发现autorun.inf
  B/ K: a5 p: Q  ?' u. k再输入c:\>del  c:\autorun.inf /q/s/f/a 然后回车
然后跳到其他盘 从C盘到D盘可以输入c:\>d:  其他类似
4 x5 ?8 ]. U3 b! F再类似操作可以清楚autorun.inf
然后再去注册表
, Z% |" r. H, @2 v& }$ y2 M9 s- m在运行里面输入：regedit
找到Hkey_Local_Machine
software---microsoft-windows-currentversion--run
& v$ b9 B) l, M; F, \8 C5 I找到相应的注册表文件 删掉（先确认操作可行性，别删错了！）当然有可能其他目录也有
操作完成重启，核查一下是否还有！
! p- w7 E4 s1 P9 F9 Z% I5 l" u在操作工程中请不要有双击打开银盘或者文件的操作，请习惯用右键点击打开。
$ z0 j: Q, x; Q) X( s( A4 J如果注册表文件删除不了，可以去下冰刃。
当然一般autorun.inf的病毒杀毒软件很多搞得掉！
+ Z3 f& `# n! \! m( T, |我介绍的一种方案如果不行。请到这里发贴，有斑竹或者其他版忙解决的

梦舞

22cf87.exe 是什么进程？什么作用？
# j& W8 o6 o& k( e
6 [9 `; N2 W0 q. P' H( R* }所在目录：C:\WINDOWS\system32\E4A428

& M6 ^* x2 k- l[ 本帖最后由 梦舞 于 2008-9-21 03:48 编辑 ]

琼ヾ苍

windows 中没有这样的进程
  且看这个进程名 酷似病毒  请注意

霜の詠叹調

很详细啊，谢谢

small.天使

听说现在计协修电脑还要先登记呀？

琼ヾ苍

其实 我觉得 17楼的介绍的方法 过于繁琐 且 并不是每个人都会使用 Dos 系统
" K8 K3 U9 O$ R) y8 E" }5 K    还不如 WinRAR来浏览删除 直观 方便 且安全。
  不过 其中一些技术 有兴趣的人还是值得学习的。

梦舞

原帖由 琼ヾ苍 于 2008-9-21 09:18 发表
windows 中没有这样的进程
  且看这个进程名 酷似病毒  请注意

- g( B! t* s) a! x
恩，我也知道没有这个进程，但是用KAV7.0.0125版本的没有查出病毒，360和eyrjql沙查也没有出现问题。

琼ヾ苍

病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
5 R9 Z; Z) D5 w9 G4 U  K 看看它是不是病毒。
- ?% \, j+ H' _& Q) R- t8 d" u  C1 |我邮箱是 CSW8923@126.COM

戒律

计协维修流程是：

6 A2 s; D! K) F4 Z( N4 }到计算机协会网站注册号码（要求输入的信息必须是真实的）
" i* Z2 x; @) r9 w) H( Z- D( ^8 G
) H- R* d/ @4 _" B6 P( K* ?" M6 J' j( q之后后台人员会审核，核对看你是不是协会的会员
* L4 p8 v9 |/ Z* R
然后之后你就可以用这个号码报修

* T% O* n" Q- i. P. a报修后48小时内会有技术员上宿舍替你维修
# T2 _: l8 {* k, F' H, ~" z& H% C, B
% r1 s4 m) n! q$ h5 @修好之后会让你登记一下
4 Z8 d! E9 u7 W! R
就OK了

0 I2 N. f) p* u+ C( T! }
注意：修电脑是免费的，且48小时是对会员的保证
" G: k3 @! e* U* j          对于非会员，也可以报修，但全部排在会员后面
# b5 ^/ L& T4 g6 _          所以非会员报修不能保证什么时间段内有人上去维修

蘋^氺^缃漨

惠普笔记本经常重启，不是系统问题，，一般是什么状况，可能那个硬件问题吧

kiss4luna

为什么不免费提供19岁妙龄靓女一个？:m41 :m36 :m38 :m9 :m17

戒律

原因可能有几个：
7 n, {) @( K) H! }9 y! U
9 r& G. @# @( u一个是因为系统有自带的某两个补丁（网上看的）
) G1 C6 z4 _. Q( C( D: j) r% j, k, F
& S+ U$ x  l6 e$ v. f; W0 l还有就是不知道楼主有没有加过内存，有的话也可能是这个原因

- r3 A1 ^* V( o再来就是散热问题，有些本本设计不好，散热行很差，建议加个散热底座

" ~1 S8 t% x: a( A9 T, g不行的话用软件检测一下硬盘
. e# U# y7 d( n9 t2 P% C' N
% i/ Y4 [2 C- A, X% ^0 q2 K

梦舞

原帖由 琼ヾ苍 于 2008-9-21 13:18 发表
病毒库 更新速度并不一定比 新病毒产生的快.
$ p, P4 j) n7 |8 L! o- ]' ?查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
# r+ U' x7 _7 G1 b5 w$ K看看它是不是病毒。
% ?; ~, p* E6 i6 [6 x9 ]9 G2 B我邮箱是 CSW8923@126.COM

1 g, i4 P' Y$ W+ W4 k5 j
% b5 l- a% k3 y' H7 p& Y6 c# C
! |1 o8 j( L* |$ y东西发了，请查收

琼ヾ苍

这个病毒 会佯装成 文件夹的样子 来欺骗用户.
) y2 M! ?8 v8 p) d) Y$ i8 g: t* ~如图
所以建议你 最好 能取消勾选 文件夹选项 中的 隐藏已知类型的扩展名 。
1 @& _0 ~3 l) D# n这样就能 防止被这样的病毒 蒙骗。
' N* ^3 m  O0 v, _) X5 N
# E+ }. J& d& |  V1 u/ d# ^  ~: [
下面是我对该病毒的分析
==================================================
/ J. c- h5 @$ q+ H9 d2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
& J9 p6 D+ V. Q2 x( v0 C进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
- R9 @; F8 v$ \+ w3 T3 `2 y3 B2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
' L/ s5 O9 \3 k& P% w/ G/ p  Y进程路径:E:\文件中心\22CF87.EXE
* ~. ~4 F% |6 Y( e! W% F% Y( ?/ S0 d" U文件路径:(隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:13:01        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
3 W8 ~$ W, w  ]) K4 x( O( w2 j6 b文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:12:52        文件保护(创建文件)     操作:允许
# x$ m. ?2 n2 q& m6 |进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\com.run
* T4 Z- D* d- n. t2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
3 Y$ T8 r5 ~! f1 u3 J. c+ @进程路径:E:\文件中心\22CF87.EXE
" Z- i1 k; n# C. l文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\dp1.fne
2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\RegEx.fnr
+ `6 Z- @6 h* r; I4 g2008-09-23 20:12:50        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\spec.fne
! p6 y: J9 E2 F) x0 Z5 ^) ]2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\internet.fne
2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\eAPI.fne
8 p: r  Y- N$ b# q7 p2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
" J( P  L! V- s进程路径:E:\文件中心\22CF87.EXE
9 U/ o# n6 [  ]! `3 V文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\shell.fne
2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
3 N& Z  O7 M) {, |; t3 h& K; A进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\krnln.fnr
6 |/ _+ j3 f: L2008-09-23 20:12:47        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
8 u8 s: G8 X* a$ V文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4
============================
+ v9 ]1 A, p% @6 ^. a7 U0 q从上面报告上看 我们能看出该病毒并没对注册表有什么修改动作,
2 N3 |# {" G7 v( l0 d但病毒在 系统盘中 包括system32 中都建立了多个随机名的可执行文件。
) w' o& @( A0 Y9 e- o+ B, g  W同时在 system32 中 添加几个 随机的英文和数字组合 文件夹 里面包括各种病毒所产生的衍生物.
" C6 _7 ]! H" y+ u7 I并且还会在 系统用户名文件夹中的临时文件中 建立多个 支持文件.
: X/ X5 r0 Z  c, [/ b) N另外我还发现该病毒有个特性: 它能在U盘中 模仿已有的文件夹, 然后创建同样名字的假文件夹. 企图 蒙骗用户. 请小心。
3 k' K& M( P1 E+ t  f这个病毒 我前几天在自己用来送去打印店的U盘上也有发现. 没想今天又遇见. 可见 这个病毒目前非常流行.

) X8 r& [7 \3 u( }* V另附 杀软对该病毒认知程度报表
. Z3 [+ b6 ]" V' s& A3 G/ T# I

Scanned time   : 2008/09/23 20:53:49 (CST)
Scanner results: 22%的杀软(8/36)报告发现病毒

File Name      : 22CF87.EXE
. H3 v$ ^& O: Z1 L( qFile Size      : 1513853 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
) j8 b+ i& a6 c5 P' gMD5            : 7d2fe87f12290f4f19b004541fa1b7a6
9 k& w* Y& w1 u, a5 ^) CSHA1           : ddbd7724e7d3a1bf61772263242bac8e0f45c8e7
- Q) z$ `  @, sScanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
/ F6 i- H' j* }$ G8 N/ P2 U7 [
a-squared      4.0.0.14         2008.09.17        2008-09-17  1.45   -
安博士V3       2008.09.23.02   2008.09.23        2008-09-23  0.91   -
AntiVir        7.8.1.34        7.0.6.200         2008-09-23  2.35   TR/Dropper.Gen * 查出病毒
Arcavir        1.0.5           200809222017      2008-09-22  1.29   Heur.W32 * 查出病毒
  D9 U  J- B/ E, N  U' dAVAST!         3.0.1           080922-0          2008-09-22  0.11   -
AVG            7.5.52.442      270.7.1/1686      2008-09-23  1.94   -
BitDefender    7.60825.1781380 7.21008           2008-09-23  5.82   -
. Z. h1 ?, }# F# p) }3 |' P& ~CA (VET)       9.0.0.143       31.6.6101         2008-09-23  5.01   -
* G; k9 D, b" u3 V% iClamAV         0.94            8316              2008-09-23  0.24   -
Comodo         2.11            2.0.0.655         2008-09-23  0.44   -
CP Secure      1.1.0.715       2008.09.23        2008-09-23  5.92   -
Dr.Web         4.44.0.9170     2008.09.23        2008-09-23  4.56   -
ewido          4.0.0.2         2008.09.23        2008-09-23  2.75   -
F-Prot         4.4.4.56        20080922          2008-09-22  1.03   W32/Nuj.A.gen!Eldorado (generic, not disinfectable) * 查出病毒
. G) {7 J9 O3 c* {) X* SF-Secure       5.51.6100       2008.09.23.04     2008-09-23  3.44   Trojan-Downloader.Win32.VB.hvo [AVP] * 查出病毒
4 @2 a. X/ a2 h5 B6 o  J' v( h7 I飞塔           2.81-3.113      9.579             2008-09-22  0.25   Suspicious * 查出病毒
8 a( ~& ^" H8 h8 v" _/ qViRobot        20080923        2008.09.23        2008-09-23  0.44   -
Ikarus         T3.1.01.34      2008.09.23.71510  2008-09-23  3.44   Trojan.Peed * 查出病毒
江民杀毒       11.0.706        2008.09.23        2008-09-23  1.22   -
+ e5 r& G" }" Q卡巴斯基       5.5.10          2008.09.23        2008-09-23  0.04   Trojan-Downloader.Win32.VB.hvo  * 查出病毒
3 x) y3 j$ x) C7 a$ F- a) u# y金山毒霸       2008.1.14.15    2008.9.23.17      2008-09-23  0.63   -
迈克菲         5.3.00          5389              2008-09-22  1.92   -
Microsoft      1.3903          2008.09.23        2008-09-23  3.96   -
mks_vir        2.01            2008.09.23        2008-09-23  2.74   Heur.W32
Norman         5.93.01         5.93.00           2008-09-18  5.46   -
# \& p' P  V! T/ @8 u" v$ o; \熊猫卫士       9.05.01         2008.09.22        2008-09-22  2.21   -
9 j6 h3 ~( T" r* s趋势科技       8.700-1004      5.560.07          2008-09-23  0.05   -
9 p% C6 j6 C5 T! [' V* c! MQuick Heal     9.50            2008.09.23        2008-09-23  2.05   -
- N3 e. `; w( |# o4 y瑞星           20.0            20.63.12.00       2008-09-23  0.90   -
3 E1 D5 Y! d5 G) W: [' HSophos         2.78.0          4.33              2008-09-23  1.89   -
Sunbelt        3.1.1662.1      2251              2008-09-22  0.47   -
' a" E$ n. q4 H' _) O+ I赛门铁克       1.3.0.24        20080922.003      2008-09-22  0.51   -
nProtect       2008-09-23.00   2132839           2008-09-23  4.62   -
The Hacker     6.3.0.9         v00091            2008-09-22  0.43   -
VBA32          3.12.8.5        20080922.0830     2008-09-22  3.66   -
) k+ ]" K' [# `5 X1 Q4 fVirusBuster    4.5.11.10       10.88.4/635596    2008-09-22  1.32   -
+ M# T1 ?' l$ a7 @0 v
4 F3 o7 W8 W  B1 x1 p2 I
0 Y+ S4 L3 z2 }% |. t* P

, o, X( p6 N! m+ _8 n' B% ]
[ 本帖最后由 琼ヾ苍 于 2008-9-23 14:03 编辑 ]