迎小家五周年庆—『电脑咨询室』专版有奖活动【联合诚毅计算机协会强力推出】（试行）

戒律

autorun是去年整个集美大学流传病毒排名第一的

还深刻记得当初被整得好惨:m40

Jarvis

对于被autorun,inf害得比较惨的人
& @' _9 w& W: {4 {! O& H8 R& v) [一般解决方案(一般彻底搞掉)
/ v; G! r" S8 C% [, c点击开始-----运行------cmd----（如果命令提示符是：C:\Documents and Settings\Administrator>    可以先输入cd..（注意2点也要输入哦）一直退到C:\>）然后输入attrib -s-h-r    (-s,-h,-r随便输入一个)
如果有发现autorun.inf
- I; ~% H" o! h! ]$ R9 J* N. K# f* W再输入c:\>del  c:\autorun.inf /q/s/f/a 然后回车
然后跳到其他盘 从C盘到D盘可以输入c:\>d:  其他类似
; u/ s; a- G0 F再类似操作可以清楚autorun.inf
" r& O+ N# B4 S/ P4 |' @" r然后再去注册表
在运行里面输入：regedit
/ D% e% }6 O% |% j% l' q' b9 q找到Hkey_Local_Machine
: J! ~  ^5 j5 |) W2 D/ u& asoftware---microsoft-windows-currentversion--run
找到相应的注册表文件 删掉（先确认操作可行性，别删错了！）当然有可能其他目录也有
操作完成重启，核查一下是否还有！
8 e( V1 E+ ~9 P. u& N" Q5 f* b在操作工程中请不要有双击打开银盘或者文件的操作，请习惯用右键点击打开。
如果注册表文件删除不了，可以去下冰刃。
当然一般autorun.inf的病毒杀毒软件很多搞得掉！
我介绍的一种方案如果不行。请到这里发贴，有斑竹或者其他版忙解决的

梦舞

22cf87.exe 是什么进程？什么作用？

所在目录：C:\WINDOWS\system32\E4A428

2 Y9 S! S/ a  V2 _' \[ 本帖最后由 梦舞 于 2008-9-21 03:48 编辑 ]

琼ヾ苍

windows 中没有这样的进程
  且看这个进程名 酷似病毒  请注意

霜の詠叹調

很详细啊，谢谢

small.天使

听说现在计协修电脑还要先登记呀？

琼ヾ苍

其实 我觉得 17楼的介绍的方法 过于繁琐 且 并不是每个人都会使用 Dos 系统
+ i% m3 D5 _5 s    还不如 WinRAR来浏览删除 直观 方便 且安全。
7 E" }' d3 O* l$ z& b: y! d) ?  不过 其中一些技术 有兴趣的人还是值得学习的。

梦舞

原帖由 琼ヾ苍 于 2008-9-21 09:18 发表
windows 中没有这样的进程
" O+ t* @3 U* G# u5 f  且看这个进程名 酷似病毒  请注意

1 ~- O, N4 N$ u: P. f8 v! a
恩，我也知道没有这个进程，但是用KAV7.0.0125版本的没有查出病毒，360和eyrjql沙查也没有出现问题。

琼ヾ苍

病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
- ?# b! J$ Z7 K! w3 _; G 看看它是不是病毒。
4 X4 h5 m! n4 ~$ L我邮箱是 CSW8923@126.COM

戒律

计协维修流程是：

到计算机协会网站注册号码（要求输入的信息必须是真实的）

9 J9 M- {6 i" x* N/ S" w: _之后后台人员会审核，核对看你是不是协会的会员

) i! d# S3 [0 j. L3 J+ V* m* ~+ X* u然后之后你就可以用这个号码报修
' @" t9 |" ~' b* X( C
# K/ ^' B8 \* e5 g5 k, H报修后48小时内会有技术员上宿舍替你维修

修好之后会让你登记一下
& J# Z# i" Y# u) Z. k0 b5 {
3 p. u6 P1 F, @! S! y  y就OK了
; c4 n! _- N: Z2 q! ^  I
" {: [! ?0 x) K$ U( y$ }  ?% J
注意：修电脑是免费的，且48小时是对会员的保证
          对于非会员，也可以报修，但全部排在会员后面
; e1 L" y) x* H7 f% R. g) j          所以非会员报修不能保证什么时间段内有人上去维修

蘋^氺^缃漨

惠普笔记本经常重启，不是系统问题，，一般是什么状况，可能那个硬件问题吧

kiss4luna

为什么不免费提供19岁妙龄靓女一个？:m41 :m36 :m38 :m9 :m17

戒律

原因可能有几个：
: L" E* S* l$ c* T: X* F
一个是因为系统有自带的某两个补丁（网上看的）

5 h$ v( V( \, O还有就是不知道楼主有没有加过内存，有的话也可能是这个原因
, X# n7 _6 N, Y$ U% C8 g/ _* C
再来就是散热问题，有些本本设计不好，散热行很差，建议加个散热底座

不行的话用软件检测一下硬盘
# Z8 m0 _/ c5 _* m  W
8 }( c% p8 _( D. G

梦舞

原帖由 琼ヾ苍 于 2008-9-21 13:18 发表
病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
看看它是不是病毒。
我邮箱是 CSW8923@126.COM

# G- |! ~5 W4 k# b$ o

0 K2 o* R3 T0 x! o$ }4 P东西发了，请查收

琼ヾ苍

这个病毒 会佯装成 文件夹的样子 来欺骗用户.
7 t2 E9 M/ Z3 q8 v如图
所以建议你 最好 能取消勾选 文件夹选项 中的 隐藏已知类型的扩展名 。
这样就能 防止被这样的病毒 蒙骗。
' D9 {+ y% y% c" m3 ^* N* W

' |" J8 Z6 r; i$ Z下面是我对该病毒的分析
==================================================
2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
! c9 p6 G9 C8 n7 g& E2 ?进程路径:E:\文件中心\22CF87.EXE
; L& q8 ?# v  u6 h/ r/ r. ]文件路径:(隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:13:01        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
( o3 ~5 a+ C/ S5 [& _% U' y文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
6 y9 K# E7 h  Q* Y! |- E2008-09-23 20:12:52        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
+ Y3 q$ o, F: i# [: K8 X! g* x  g文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\com.run
, ]4 N& [, Y4 Y0 U3 T! R: R# X: C2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\dp1.fne
; I3 O# D6 b1 t- T1 `+ m+ q' g2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
# D- l" Z5 i- t- q+ \进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\RegEx.fnr
& @+ |6 e, R$ k2008-09-23 20:12:50        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\spec.fne
! q* h$ v+ H% X" y; s4 y* R; K$ |! I0 _2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
2 `' E  G4 ?% C+ x3 G# l% u) P7 z& ^5 {文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\internet.fne
2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\eAPI.fne
2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
8 i6 s- `( h$ x% B. ^7 I进程路径:E:\文件中心\22CF87.EXE
' y( Q7 K" z& d) m) a4 P/ e文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\shell.fne
0 G$ R1 z% H$ _8 G; o7 R* i2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
* c( ^1 E9 Y- }+ x" E文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\krnln.fnr
2008-09-23 20:12:47        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4
============================
8 Z) l8 k- [( e7 F2 t! Y3 u1 H从上面报告上看 我们能看出该病毒并没对注册表有什么修改动作,
8 u! Z, B4 _: D但病毒在 系统盘中 包括system32 中都建立了多个随机名的可执行文件。
( ]6 ?$ X+ N8 h; a9 O2 W同时在 system32 中 添加几个 随机的英文和数字组合 文件夹 里面包括各种病毒所产生的衍生物.
并且还会在 系统用户名文件夹中的临时文件中 建立多个 支持文件.
另外我还发现该病毒有个特性: 它能在U盘中 模仿已有的文件夹, 然后创建同样名字的假文件夹. 企图 蒙骗用户. 请小心。
' `8 t( ^% i& r& W6 P这个病毒 我前几天在自己用来送去打印店的U盘上也有发现. 没想今天又遇见. 可见 这个病毒目前非常流行.

& s# N! _, K  r- Z% w另附 杀软对该病毒认知程度报表


  |0 e3 i& c2 IScanned time   : 2008/09/23 20:53:49 (CST)
# R# M2 Z  J: N* T4 oScanner results: 22%的杀软(8/36)报告发现病毒

File Name      : 22CF87.EXE
File Size      : 1513853 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
8 _4 r8 q" V2 b3 e2 m! a  }0 ZMD5            : 7d2fe87f12290f4f19b004541fa1b7a6
% v9 d# I' a* f( e* VSHA1           : ddbd7724e7d3a1bf61772263242bac8e0f45c8e7
$ J9 }# o/ y+ YScanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
5 h- B6 h0 t& l! c; z9 W" {# z
) Q5 {* d7 F  W" y  sa-squared      4.0.0.14         2008.09.17        2008-09-17  1.45   -
- v7 E# A2 V3 C3 Y安博士V3       2008.09.23.02   2008.09.23        2008-09-23  0.91   -
AntiVir        7.8.1.34        7.0.6.200         2008-09-23  2.35   TR/Dropper.Gen * 查出病毒
1 s' Q8 A* k1 U$ cArcavir        1.0.5           200809222017      2008-09-22  1.29   Heur.W32 * 查出病毒
  l' f# Q, B2 n& B: P; ^AVAST!         3.0.1           080922-0          2008-09-22  0.11   -
AVG            7.5.52.442      270.7.1/1686      2008-09-23  1.94   -
BitDefender    7.60825.1781380 7.21008           2008-09-23  5.82   -
! O, u" }- t) z" L2 y1 `- }CA (VET)       9.0.0.143       31.6.6101         2008-09-23  5.01   -
6 w5 l1 M* Z! D; b- DClamAV         0.94            8316              2008-09-23  0.24   -
/ M; x" \3 l! H+ dComodo         2.11            2.0.0.655         2008-09-23  0.44   -
2 y" H4 `' v  y+ s+ d/ dCP Secure      1.1.0.715       2008.09.23        2008-09-23  5.92   -
Dr.Web         4.44.0.9170     2008.09.23        2008-09-23  4.56   -
ewido          4.0.0.2         2008.09.23        2008-09-23  2.75   -
' r* t2 y; Q$ `, h5 gF-Prot         4.4.4.56        20080922          2008-09-22  1.03   W32/Nuj.A.gen!Eldorado (generic, not disinfectable) * 查出病毒
F-Secure       5.51.6100       2008.09.23.04     2008-09-23  3.44   Trojan-Downloader.Win32.VB.hvo [AVP] * 查出病毒
飞塔           2.81-3.113      9.579             2008-09-22  0.25   Suspicious * 查出病毒
ViRobot        20080923        2008.09.23        2008-09-23  0.44   -
8 F) }! n! ?; E7 ~7 e# q1 B/ xIkarus         T3.1.01.34      2008.09.23.71510  2008-09-23  3.44   Trojan.Peed * 查出病毒
江民杀毒       11.0.706        2008.09.23        2008-09-23  1.22   -
卡巴斯基       5.5.10          2008.09.23        2008-09-23  0.04   Trojan-Downloader.Win32.VB.hvo  * 查出病毒
' ]4 `: X& \" \8 e金山毒霸       2008.1.14.15    2008.9.23.17      2008-09-23  0.63   -
# k+ ]4 n! V) R迈克菲         5.3.00          5389              2008-09-22  1.92   -
  e- B/ }' S' x4 S6 FMicrosoft      1.3903          2008.09.23        2008-09-23  3.96   -
" g  ]3 M/ }. Y9 E. p- Cmks_vir        2.01            2008.09.23        2008-09-23  2.74   Heur.W32
) l# m3 f1 f  X% L1 MNorman         5.93.01         5.93.00           2008-09-18  5.46   -
熊猫卫士       9.05.01         2008.09.22        2008-09-22  2.21   -
! s9 k+ G! c+ f3 W* L! v% j3 [4 I趋势科技       8.700-1004      5.560.07          2008-09-23  0.05   -
: o# A) N3 w( p) W" A+ E- kQuick Heal     9.50            2008.09.23        2008-09-23  2.05   -
瑞星           20.0            20.63.12.00       2008-09-23  0.90   -
/ K. \4 _! _# t4 [Sophos         2.78.0          4.33              2008-09-23  1.89   -
$ H1 ?6 c$ Q) RSunbelt        3.1.1662.1      2251              2008-09-22  0.47   -
! R" B- l* V6 B) m1 P& _% P/ x( Q赛门铁克       1.3.0.24        20080922.003      2008-09-22  0.51   -
! q% W% Y" U1 B* n5 VnProtect       2008-09-23.00   2132839           2008-09-23  4.62   -
8 [) w# N, U/ z4 BThe Hacker     6.3.0.9         v00091            2008-09-22  0.43   -
- _& F# [  S! b4 N& UVBA32          3.12.8.5        20080922.0830     2008-09-22  3.66   -
VirusBuster    4.5.11.10       10.88.4/635596    2008-09-22  1.32   -
, j6 v, c6 u8 |




[ 本帖最后由 琼ヾ苍 于 2008-9-23 14:03 编辑 ]