迎小家五周年庆—『电脑咨询室』专版有奖活动【联合诚毅计算机协会强力推出】（试行）

戒律

autorun是去年整个集美大学流传病毒排名第一的

' l- T, b5 ]" `3 l还深刻记得当初被整得好惨:m40

Jarvis

对于被autorun,inf害得比较惨的人
9 }2 W  d( [3 ^$ y一般解决方案(一般彻底搞掉)
* A2 j4 P  i8 i% H! i9 L点击开始-----运行------cmd----（如果命令提示符是：C:\Documents and Settings\Administrator>    可以先输入cd..（注意2点也要输入哦）一直退到C:\>）然后输入attrib -s-h-r    (-s,-h,-r随便输入一个)
如果有发现autorun.inf
再输入c:\>del  c:\autorun.inf /q/s/f/a 然后回车
然后跳到其他盘 从C盘到D盘可以输入c:\>d:  其他类似
, c! F& ]" \: Q3 }再类似操作可以清楚autorun.inf
- w( ]4 }8 V* ]) R  s* p然后再去注册表
在运行里面输入：regedit
1 V2 g- }6 u2 @/ o: M5 g* i" W; t5 S找到Hkey_Local_Machine
8 N( d# \6 L# Z8 Jsoftware---microsoft-windows-currentversion--run
/ v. t! T, y) d# ]找到相应的注册表文件 删掉（先确认操作可行性，别删错了！）当然有可能其他目录也有
操作完成重启，核查一下是否还有！
  ^6 x* G  ], b- f3 G2 a3 g0 v在操作工程中请不要有双击打开银盘或者文件的操作，请习惯用右键点击打开。
如果注册表文件删除不了，可以去下冰刃。
* l$ _& ]" i& W当然一般autorun.inf的病毒杀毒软件很多搞得掉！
+ y7 J$ J' U5 ?1 Z我介绍的一种方案如果不行。请到这里发贴，有斑竹或者其他版忙解决的

梦舞

22cf87.exe 是什么进程？什么作用？

所在目录：C:\WINDOWS\system32\E4A428
9 Q; }3 |1 L5 J- N
[ 本帖最后由 梦舞 于 2008-9-21 03:48 编辑 ]

琼ヾ苍

windows 中没有这样的进程
  且看这个进程名 酷似病毒  请注意

霜の詠叹調

很详细啊，谢谢

small.天使

听说现在计协修电脑还要先登记呀？

琼ヾ苍

其实 我觉得 17楼的介绍的方法 过于繁琐 且 并不是每个人都会使用 Dos 系统
    还不如 WinRAR来浏览删除 直观 方便 且安全。
  不过 其中一些技术 有兴趣的人还是值得学习的。

梦舞

原帖由 琼ヾ苍 于 2008-9-21 09:18 发表
& C4 M6 q) p6 {6 A7 Bwindows 中没有这样的进程
) r3 L, O$ l. X5 e) n  且看这个进程名 酷似病毒  请注意

恩，我也知道没有这个进程，但是用KAV7.0.0125版本的没有查出病毒，360和eyrjql沙查也没有出现问题。

琼ヾ苍

病毒库 更新速度并不一定比 新病毒产生的快.
# G$ I9 X. p  I查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
; l9 W( {% F% ^% z% H; e 看看它是不是病毒。
4 U) t! Q# A& e' S- S3 x8 i我邮箱是 CSW8923@126.COM

戒律

计协维修流程是：
8 D: X9 i/ e( P$ U
" f1 y* q& Q2 ^) w到计算机协会网站注册号码（要求输入的信息必须是真实的）
5 z, q6 f% P0 v8 B' y6 N
之后后台人员会审核，核对看你是不是协会的会员
9 R! G+ T) p6 I8 r. A
然后之后你就可以用这个号码报修
4 h& E8 P/ j. O% s6 g1 {" y: \
报修后48小时内会有技术员上宿舍替你维修
( G# w3 c7 s) N" l& z# u' X
& h2 J. ?' L* l  g% h0 u5 \修好之后会让你登记一下
& ]: R4 ?  F2 z0 B
就OK了


注意：修电脑是免费的，且48小时是对会员的保证
- A1 X7 l6 L5 d. Y          对于非会员，也可以报修，但全部排在会员后面
1 i; U. Y. h! p+ w7 O          所以非会员报修不能保证什么时间段内有人上去维修

蘋^氺^缃漨

惠普笔记本经常重启，不是系统问题，，一般是什么状况，可能那个硬件问题吧

kiss4luna

为什么不免费提供19岁妙龄靓女一个？:m41 :m36 :m38 :m9 :m17

戒律

原因可能有几个：
" t9 X) I  e& G7 G9 q* y5 X
一个是因为系统有自带的某两个补丁（网上看的）

还有就是不知道楼主有没有加过内存，有的话也可能是这个原因
* \4 W/ D( P; v- J; t
. o" m/ J$ l2 |, e" Z1 c1 s8 A再来就是散热问题，有些本本设计不好，散热行很差，建议加个散热底座
6 m' Q9 l: n5 O: d5 C3 P
% U8 ^/ [( K( |* ^8 N. ^- V不行的话用软件检测一下硬盘
- x, R  i" [3 _& G5 F
& ^& I; S" [% c9 g! Z: Z8 U; ~6 J

梦舞

原帖由 琼ヾ苍 于 2008-9-21 13:18 发表
- H8 i3 D9 S6 P: b% y0 I8 O2 T* l病毒库 更新速度并不一定比 新病毒产生的快.
$ [5 w5 D, C) h3 H1 Q查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
3 C7 I: g* H1 p: o  _$ y, W看看它是不是病毒。
我邮箱是 CSW8923@126.COM

4 N$ _' u2 P7 s4 N  R. x
1 d" ~1 k% ]* \- ]) L; r
东西发了，请查收

琼ヾ苍

这个病毒 会佯装成 文件夹的样子 来欺骗用户.
" G' q) V; e4 Z/ X+ a# S如图
所以建议你 最好 能取消勾选 文件夹选项 中的 隐藏已知类型的扩展名 。
这样就能 防止被这样的病毒 蒙骗。


. d# [2 y/ u! @6 C- N( }0 ?% O; w+ z) @下面是我对该病毒的分析
==================================================
2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
1 `1 N% c' A2 z* U0 s- l% o9 w2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
进程路径:E:\文件中心\22CF87.EXE
文件路径:(隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
* D$ l9 W! v* a* F' b4 e2008-09-23 20:13:01        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
1 t% M) k; L' l. \4 d6 R! [3 X2008-09-23 20:12:52        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
0 x) _. T. \/ \文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\com.run
: g( p' a9 T' a2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\dp1.fne
2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
( u( l  y6 R) R5 T: V7 w2 k进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\RegEx.fnr
5 k  ~4 R8 F! F( {0 v) S2008-09-23 20:12:50        文件保护(创建文件)     操作:允许
. G5 C' ^+ V% t$ q& }进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\spec.fne
0 I2 M9 s) a; S% Z1 `2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\internet.fne
2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
) y/ Q. Z2 ]5 }* Y4 z进程路径:E:\文件中心\22CF87.EXE
4 C2 }9 A: ?* Z: }7 \/ Q文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\eAPI.fne
4 ^4 ^8 T3 K$ N; X0 k2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
3 t. G" }, m2 _* t7 v进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\shell.fne
$ F8 T1 a$ l. V! T3 ]3 S' p2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
, Y6 g+ @/ H5 j' ~9 ?) h- ]* \- J进程路径:E:\文件中心\22CF87.EXE
* t$ }5 {; K9 S4 w. J文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\krnln.fnr
/ p8 l( Z& q2 B! M$ V9 y1 s2008-09-23 20:12:47        文件保护(创建文件)     操作:允许
0 h# ]  }( k4 V! r# A9 e进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4
============================
从上面报告上看 我们能看出该病毒并没对注册表有什么修改动作,
但病毒在 系统盘中 包括system32 中都建立了多个随机名的可执行文件。
同时在 system32 中 添加几个 随机的英文和数字组合 文件夹 里面包括各种病毒所产生的衍生物.
6 F5 N7 ?' o1 g3 x6 W$ I  N2 t; ?并且还会在 系统用户名文件夹中的临时文件中 建立多个 支持文件.
% i# M2 T6 b# i6 m) d. r% w7 [3 T另外我还发现该病毒有个特性: 它能在U盘中 模仿已有的文件夹, 然后创建同样名字的假文件夹. 企图 蒙骗用户. 请小心。
" a' C5 l& A) M2 q这个病毒 我前几天在自己用来送去打印店的U盘上也有发现. 没想今天又遇见. 可见 这个病毒目前非常流行.
4 a2 d  V. S3 U4 u
另附 杀软对该病毒认知程度报表

, ~' x4 Z  a- g
$ q: H' H5 i4 S7 S) mScanned time   : 2008/09/23 20:53:49 (CST)
# f# R! x! C# U( x! OScanner results: 22%的杀软(8/36)报告发现病毒

File Name      : 22CF87.EXE
File Size      : 1513853 byte
. N* J. k4 u" ?File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 7d2fe87f12290f4f19b004541fa1b7a6
SHA1           : ddbd7724e7d3a1bf61772263242bac8e0f45c8e7
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result

a-squared      4.0.0.14         2008.09.17        2008-09-17  1.45   -
0 R# h: h0 I% z1 r; D安博士V3       2008.09.23.02   2008.09.23        2008-09-23  0.91   -
AntiVir        7.8.1.34        7.0.6.200         2008-09-23  2.35   TR/Dropper.Gen * 查出病毒
Arcavir        1.0.5           200809222017      2008-09-22  1.29   Heur.W32 * 查出病毒
AVAST!         3.0.1           080922-0          2008-09-22  0.11   -
: Q; D+ q7 Y" P; J3 D( @1 b) yAVG            7.5.52.442      270.7.1/1686      2008-09-23  1.94   -
) {! h# ^2 g" m2 ?! Q# [8 H: [; G, ?BitDefender    7.60825.1781380 7.21008           2008-09-23  5.82   -
CA (VET)       9.0.0.143       31.6.6101         2008-09-23  5.01   -
) W: G% \9 }; Y' ^4 Y3 C% h7 tClamAV         0.94            8316              2008-09-23  0.24   -
: k4 T( d9 f# [: Q+ _( jComodo         2.11            2.0.0.655         2008-09-23  0.44   -
CP Secure      1.1.0.715       2008.09.23        2008-09-23  5.92   -
9 }* S, i: y  m1 r; t; oDr.Web         4.44.0.9170     2008.09.23        2008-09-23  4.56   -
ewido          4.0.0.2         2008.09.23        2008-09-23  2.75   -
1 i. i. E" |* ~- ZF-Prot         4.4.4.56        20080922          2008-09-22  1.03   W32/Nuj.A.gen!Eldorado (generic, not disinfectable) * 查出病毒
, T/ [! e. C1 D" S! l  J5 _4 `1 Q- lF-Secure       5.51.6100       2008.09.23.04     2008-09-23  3.44   Trojan-Downloader.Win32.VB.hvo [AVP] * 查出病毒
% p( g) }/ n9 G. R: p  @飞塔           2.81-3.113      9.579             2008-09-22  0.25   Suspicious * 查出病毒
ViRobot        20080923        2008.09.23        2008-09-23  0.44   -
Ikarus         T3.1.01.34      2008.09.23.71510  2008-09-23  3.44   Trojan.Peed * 查出病毒
江民杀毒       11.0.706        2008.09.23        2008-09-23  1.22   -
. H+ }7 f. ?8 t/ h( G9 w& B卡巴斯基       5.5.10          2008.09.23        2008-09-23  0.04   Trojan-Downloader.Win32.VB.hvo  * 查出病毒
2 G; |5 m8 b) _# M# w9 r/ ~金山毒霸       2008.1.14.15    2008.9.23.17      2008-09-23  0.63   -
# j5 _' `+ \4 C, _5 m+ e  i迈克菲         5.3.00          5389              2008-09-22  1.92   -
7 Q8 P- }" `+ \& r7 b3 ~Microsoft      1.3903          2008.09.23        2008-09-23  3.96   -
9 _* f0 B4 P9 W* ^( ^4 hmks_vir        2.01            2008.09.23        2008-09-23  2.74   Heur.W32
* q% H1 A0 F! B& `2 K) }0 [5 q2 h  VNorman         5.93.01         5.93.00           2008-09-18  5.46   -
* q' \' @9 e: F( v" ~) N% s1 E熊猫卫士       9.05.01         2008.09.22        2008-09-22  2.21   -
趋势科技       8.700-1004      5.560.07          2008-09-23  0.05   -
Quick Heal     9.50            2008.09.23        2008-09-23  2.05   -
4 ~/ O  T0 v( U7 I& [, W* P瑞星           20.0            20.63.12.00       2008-09-23  0.90   -
; n! o8 h* C5 ~0 Q& j, M+ r+ CSophos         2.78.0          4.33              2008-09-23  1.89   -
Sunbelt        3.1.1662.1      2251              2008-09-22  0.47   -
8 y- H4 ?! s' n$ F/ @5 y赛门铁克       1.3.0.24        20080922.003      2008-09-22  0.51   -
+ Z6 H/ K3 C% ?! U. O" bnProtect       2008-09-23.00   2132839           2008-09-23  4.62   -
The Hacker     6.3.0.9         v00091            2008-09-22  0.43   -
VBA32          3.12.8.5        20080922.0830     2008-09-22  3.66   -
* t; N. d5 L, W( y8 v) T' SVirusBuster    4.5.11.10       10.88.4/635596    2008-09-22  1.32   -

# Y) f* P0 z) W

1 m) \4 ^# M3 \* d8 w% B1 U. J0 L

[ 本帖最后由 琼ヾ苍 于 2008-9-23 14:03 编辑 ]