迎小家五周年庆—『电脑咨询室』专版有奖活动【联合诚毅计算机协会强力推出】（试行）

戒律

autorun是去年整个集美大学流传病毒排名第一的
4 e$ j/ c' H% p: I: E  @& |
  g" ^, E: H- w还深刻记得当初被整得好惨:m40

Jarvis

对于被autorun,inf害得比较惨的人
& B0 e3 v5 u/ m/ ]: I, e一般解决方案(一般彻底搞掉)
点击开始-----运行------cmd----（如果命令提示符是：C:\Documents and Settings\Administrator>    可以先输入cd..（注意2点也要输入哦）一直退到C:\>）然后输入attrib -s-h-r    (-s,-h,-r随便输入一个)
如果有发现autorun.inf
! j8 \8 w- E' e8 v! f. l' p: r再输入c:\>del  c:\autorun.inf /q/s/f/a 然后回车
然后跳到其他盘 从C盘到D盘可以输入c:\>d:  其他类似
再类似操作可以清楚autorun.inf
; J9 c$ x5 Z  W% W+ {4 Y  _然后再去注册表
& U0 p- f- x  g3 C) [2 T* U# v6 h  W- i在运行里面输入：regedit
* @0 N  K- Z/ e" s2 u+ B找到Hkey_Local_Machine
software---microsoft-windows-currentversion--run
找到相应的注册表文件 删掉（先确认操作可行性，别删错了！）当然有可能其他目录也有
操作完成重启，核查一下是否还有！
在操作工程中请不要有双击打开银盘或者文件的操作，请习惯用右键点击打开。
7 X! j1 V1 _9 x5 t' X1 d如果注册表文件删除不了，可以去下冰刃。
当然一般autorun.inf的病毒杀毒软件很多搞得掉！
0 J, Q8 j$ P- W( e* S" j% n, ~我介绍的一种方案如果不行。请到这里发贴，有斑竹或者其他版忙解决的

梦舞

22cf87.exe 是什么进程？什么作用？
4 f% h* U8 ^, s9 J. I# M
所在目录：C:\WINDOWS\system32\E4A428

[ 本帖最后由 梦舞 于 2008-9-21 03:48 编辑 ]

琼ヾ苍

windows 中没有这样的进程
/ B* z) ~, d4 C; e. K" {  且看这个进程名 酷似病毒  请注意

霜の詠叹調

很详细啊，谢谢

small.天使

听说现在计协修电脑还要先登记呀？

琼ヾ苍

其实 我觉得 17楼的介绍的方法 过于繁琐 且 并不是每个人都会使用 Dos 系统
    还不如 WinRAR来浏览删除 直观 方便 且安全。
  不过 其中一些技术 有兴趣的人还是值得学习的。

梦舞

原帖由 琼ヾ苍 于 2008-9-21 09:18 发表
5 }' Z7 G, m  O+ P. ]1 \$ j! Hwindows 中没有这样的进程
  且看这个进程名 酷似病毒  请注意

6 Y- ?& [1 t; N; z3 ^( ?恩，我也知道没有这个进程，但是用KAV7.0.0125版本的没有查出病毒，360和eyrjql沙查也没有出现问题。

琼ヾ苍

病毒库 更新速度并不一定比 新病毒产生的快.
1 [1 M4 O: t& W" Z% |+ C查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
看看它是不是病毒。
我邮箱是 CSW8923@126.COM

戒律

计协维修流程是：
, f! z3 @) |$ T3 f
到计算机协会网站注册号码（要求输入的信息必须是真实的）

之后后台人员会审核，核对看你是不是协会的会员

然后之后你就可以用这个号码报修
4 _( a7 N/ F1 O) z
! t+ o; w8 f( D报修后48小时内会有技术员上宿舍替你维修

修好之后会让你登记一下

! U8 Q3 i5 z% ]& T就OK了


$ |( ?7 M: A* s注意：修电脑是免费的，且48小时是对会员的保证
+ i% \, M& o& w+ h  Y( E          对于非会员，也可以报修，但全部排在会员后面
          所以非会员报修不能保证什么时间段内有人上去维修

蘋^氺^缃漨

惠普笔记本经常重启，不是系统问题，，一般是什么状况，可能那个硬件问题吧

kiss4luna

为什么不免费提供19岁妙龄靓女一个？:m41 :m36 :m38 :m9 :m17

戒律

原因可能有几个：
# }& \# G' V5 x9 R
一个是因为系统有自带的某两个补丁（网上看的）

1 _- J6 @( i. s, x还有就是不知道楼主有没有加过内存，有的话也可能是这个原因

) u# q! g- s# f! M1 _再来就是散热问题，有些本本设计不好，散热行很差，建议加个散热底座
- N, ?8 \/ M' f; X: W/ b+ ?
5 L) B- r+ ^8 o6 q不行的话用软件检测一下硬盘
$ u/ A  Z+ _% Z9 h8 m# ]! Z

梦舞

原帖由 琼ヾ苍 于 2008-9-21 13:18 发表
病毒库 更新速度并不一定比 新病毒产生的快.
查不到是正常的...  你可以 把那个文件发到我邮箱上我可以帮你做分析
3 g2 a+ _5 F! N# u; Q看看它是不是病毒。
我邮箱是 CSW8923@126.COM

. e, I# U% {; V9 c" Q0 h: Q

6 B9 E" h; w) _东西发了，请查收

琼ヾ苍

这个病毒 会佯装成 文件夹的样子 来欺骗用户.
) D5 q5 w/ O- v如图
. R# {" Z7 M) i所以建议你 最好 能取消勾选 文件夹选项 中的 隐藏已知类型的扩展名 。
! v: h; [: V( g! k  q% K& @这样就能 防止被这样的病毒 蒙骗。


- N  q4 E8 O7 @: o! T. h# ?! ]# g下面是我对该病毒的分析
5 @( I1 ^. R8 }5 b==================================================
2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
+ U) b3 B/ n9 Y# `& B7 B进程路径:E:\文件中心\22CF87.EXE
* N0 O5 L$ V5 }5 f* G' \) i  j文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
% M1 Q2 {% w7 }) T1 `7 R: M  ?9 o# J2008-09-23 20:13:01        文件保护(修改文件)     操作:阻止
) N, {, o0 k3 f, C9 a+ y1 q! u1 F进程路径:E:\文件中心\22CF87.EXE
$ I- y1 N/ Z( x# ^文件路径:(隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
2008-09-23 20:13:01        文件保护(创建文件)     操作:允许
, X, Y& y+ T  S& g: A9 u进程路径:E:\文件中心\22CF87.EXE
$ x+ F0 g% }/ k! ~" O3 H文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\system32\8F00B2\1D8CD9.EXE
3 h- z6 u' u) D4 U2008-09-23 20:12:52        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\com.run
5 t, A1 o* k- d* g$ g' m. p2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\dp1.fne
% S  e4 B& @# }' }+ }* y6 N2008-09-23 20:12:51        文件保护(创建文件)     操作:允许
7 U. Q: m( u9 y3 t9 v- [* f& N进程路径:E:\文件中心\22CF87.EXE
1 y* A7 t/ Z4 v) Z! `文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\RegEx.fnr
7 B' a" T- Q! p: i2008-09-23 20:12:50        文件保护(创建文件)     操作:允许
) i7 k3 W7 v& ?2 v2 m% C进程路径:E:\文件中心\22CF87.EXE
% B: v; v& v" e2 i文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\spec.fne
9 S  X) n. T* U0 }2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
$ q, K6 L/ l) w0 @0 G; ^0 n* C( E文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\internet.fne
* ^* u" E) ^# g: r, e! R" T2008-09-23 20:12:49        文件保护(创建文件)     操作:允许
; p# g) X& o; I; s8 I' z# u进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\eAPI.fne
2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\shell.fne
4 ^9 a0 J( P. o2 r2008-09-23 20:12:48        文件保护(创建文件)     操作:允许
2 t( w6 o, p2 u' p; H进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4\krnln.fnr
1 \6 C% |; p, N7 y2008-09-23 20:12:47        文件保护(创建文件)     操作:允许
7 _4 H$ w+ u* R/ n进程路径:E:\文件中心\22CF87.EXE
文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\user\current\Local Settings\Temp\E_4
( ]/ z7 S1 s. h7 o) V  b, P============================
从上面报告上看 我们能看出该病毒并没对注册表有什么修改动作,
  z. q% e0 w. E4 ]1 U但病毒在 系统盘中 包括system32 中都建立了多个随机名的可执行文件。
6 E# T  W3 x. P同时在 system32 中 添加几个 随机的英文和数字组合 文件夹 里面包括各种病毒所产生的衍生物.
并且还会在 系统用户名文件夹中的临时文件中 建立多个 支持文件.
& v0 m) W& C9 p另外我还发现该病毒有个特性: 它能在U盘中 模仿已有的文件夹, 然后创建同样名字的假文件夹. 企图 蒙骗用户. 请小心。
这个病毒 我前几天在自己用来送去打印店的U盘上也有发现. 没想今天又遇见. 可见 这个病毒目前非常流行.
. A  K" K- s( q: D% Y
另附 杀软对该病毒认知程度报表


7 T' U# q6 i* T- ]6 v, `& MScanned time   : 2008/09/23 20:53:49 (CST)
( ~8 g3 q* b1 X2 b0 P4 Y; oScanner results: 22%的杀软(8/36)报告发现病毒

File Name      : 22CF87.EXE
+ R1 R; R/ F/ a% }2 GFile Size      : 1513853 byte
! w. |; j9 j1 \File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 7d2fe87f12290f4f19b004541fa1b7a6
# t4 v- p2 w# h! t4 O+ T5 iSHA1           : ddbd7724e7d3a1bf61772263242bac8e0f45c8e7
# S* d, z! t/ t) \& L) u  m; aScanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
& ]% M" o0 a! }  y4 E, V$ h+ [
a-squared      4.0.0.14         2008.09.17        2008-09-17  1.45   -
安博士V3       2008.09.23.02   2008.09.23        2008-09-23  0.91   -
7 X2 J. ]3 p9 d" s1 z3 NAntiVir        7.8.1.34        7.0.6.200         2008-09-23  2.35   TR/Dropper.Gen * 查出病毒
$ p/ ?& G0 z1 n7 M3 A# p7 XArcavir        1.0.5           200809222017      2008-09-22  1.29   Heur.W32 * 查出病毒
7 |+ }# o* U1 _/ \AVAST!         3.0.1           080922-0          2008-09-22  0.11   -
AVG            7.5.52.442      270.7.1/1686      2008-09-23  1.94   -
" b1 d4 c- X5 p) P8 yBitDefender    7.60825.1781380 7.21008           2008-09-23  5.82   -
( D1 H" q% H6 Y! A* O( TCA (VET)       9.0.0.143       31.6.6101         2008-09-23  5.01   -
ClamAV         0.94            8316              2008-09-23  0.24   -
Comodo         2.11            2.0.0.655         2008-09-23  0.44   -
CP Secure      1.1.0.715       2008.09.23        2008-09-23  5.92   -
Dr.Web         4.44.0.9170     2008.09.23        2008-09-23  4.56   -
ewido          4.0.0.2         2008.09.23        2008-09-23  2.75   -
& U, o- i1 F" {, _$ [  {& L! I( a$ yF-Prot         4.4.4.56        20080922          2008-09-22  1.03   W32/Nuj.A.gen!Eldorado (generic, not disinfectable) * 查出病毒
F-Secure       5.51.6100       2008.09.23.04     2008-09-23  3.44   Trojan-Downloader.Win32.VB.hvo [AVP] * 查出病毒
2 Z5 Z% Z9 [# x& ^0 c8 a2 A- Z飞塔           2.81-3.113      9.579             2008-09-22  0.25   Suspicious * 查出病毒
  S/ w4 ~5 X) @% g  N3 C/ ?ViRobot        20080923        2008.09.23        2008-09-23  0.44   -
/ u7 n. _8 l: t- d3 t. hIkarus         T3.1.01.34      2008.09.23.71510  2008-09-23  3.44   Trojan.Peed * 查出病毒
江民杀毒       11.0.706        2008.09.23        2008-09-23  1.22   -
卡巴斯基       5.5.10          2008.09.23        2008-09-23  0.04   Trojan-Downloader.Win32.VB.hvo  * 查出病毒
/ M, m  l! y, k. t金山毒霸       2008.1.14.15    2008.9.23.17      2008-09-23  0.63   -
* u! E1 b0 ?- P* s: q5 r; }迈克菲         5.3.00          5389              2008-09-22  1.92   -
, ]' b, n2 o* o# ~0 Y. ?  i" hMicrosoft      1.3903          2008.09.23        2008-09-23  3.96   -
mks_vir        2.01            2008.09.23        2008-09-23  2.74   Heur.W32
% X9 I& h' A+ D4 f% m( kNorman         5.93.01         5.93.00           2008-09-18  5.46   -
熊猫卫士       9.05.01         2008.09.22        2008-09-22  2.21   -
趋势科技       8.700-1004      5.560.07          2008-09-23  0.05   -
Quick Heal     9.50            2008.09.23        2008-09-23  2.05   -
瑞星           20.0            20.63.12.00       2008-09-23  0.90   -
& n5 l( C( u6 JSophos         2.78.0          4.33              2008-09-23  1.89   -
Sunbelt        3.1.1662.1      2251              2008-09-22  0.47   -
. s- H# z) N0 e- y6 }0 I/ s: T赛门铁克       1.3.0.24        20080922.003      2008-09-22  0.51   -
nProtect       2008-09-23.00   2132839           2008-09-23  4.62   -
The Hacker     6.3.0.9         v00091            2008-09-22  0.43   -
VBA32          3.12.8.5        20080922.0830     2008-09-22  3.66   -
* ?3 Y" [- ^$ dVirusBuster    4.5.11.10       10.88.4/635596    2008-09-22  1.32   -

. x; z7 k2 C2 c/ Q3 w



[ 本帖最后由 琼ヾ苍 于 2008-9-23 14:03 编辑 ]