我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: 开机自动跳出"我的文档(资源管理器)"解决办法--已发布专杀工具 显示签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

百年孤独



性别: 帅哥 状态: 该用户目前不在线
头衔: 孤独是我的宿命
等级: 荣誉会员
家族: 考研俱乐部
发贴: 3774
威望: 3
浮云: 377
在线等级:
注册时间: 2006-10-14
最后登陆: 2011-03-03

5come5帮你背单词 [ sip /sip/ v. & n. 呷,啜 ]


开机自动跳出"我的文档(资源管理器)"解决办法--已发布专杀工具

-------------------11月13日追加----------------

  今天终于有缘在某个同学那里见到此毒,搞清了具体的注册表项

  为了免除蝈蝈们错删注册表项的顾虑,自己写了个批处理,蝈蝈们直接双击本文件即可

  另外,值得注意的是,只有杀了此病毒后,才会有开机跳出我的文档的现象,此为杀毒后遗症。如果此病毒仍在系统里面,是不会有此症状的。
 
  本工具既可用来杀毒,也可以用来清除该病毒的后遗症。

  判断已中或曾中该病毒的方法:开始--运行--msconfig--启动 里有EXPLORER。

  如果该项已被选中,而你的机子在开机时未跳出我的文档,恭喜!请用本工具杀毒!

------------------答dythin蝈蝈问-------------

问题见http://192.168.2.8/bbs/read.php?tid=391288,3楼

杀毒软件只能杀掉病毒文件,一般来说不能修复被窜改的注册项

该病毒被杀后,其注册表残留项并没有被清除

分析注册表项,可以发现,残留的注册表项主要有两个地方:

一是HKCU\****\Run下,实现开机自启动。这个是病毒常用伎俩,没什么特别之处

二是HKLM\****\Winlogon下,windows在登录系统的时候会读取该键其下注册表项。被修改的地方
是"userinit"="C:\windows\system32\userinti.exe,"修改后成为"userinit"="userinit,EXPLORER"。

msconfig里只能显示第一项,而不能显示第二项。所以杀过毒,取消msconfig里的EXPLORER后,系统自启
动后仍会重加载"EXPLORER.EXE"

那为什么没杀过毒的时候为什么不弹出"我的文档"呢?因为windows在读取以上两项的时候,会首先搜索
C:\windows\system32\目录下的文件,看看有没有一个文件叫"EXPLORER.EXE"的,如果有,则执行,并放
弃进一步的搜索。此为该病毒开机自启动的机理。杀过毒后,windows在C:\windows\system32\下找不到
EXPLORER.EXE,就会接着搜索其他位置。搜索到C:\windows\下的时候,该目录下刚好有explorer.exe(即
资源管理器),windows就会运行explorer.exe,系统就会蹦出来两个资源管理器。windows在识别文件名时
,对大小写不敏感。

那么,为什么windows先搜索C:\windows\system32\目录呢?这应该牵涉到环境变量:我的电脑--属性--
高级--环境变量 ,可以看到第一项为C:\windows\system32\cmd.exe,所以windows先搜索该目录
既然跳出两个"我的文档",那为什么病毒没有运行两次?病毒源程序中有特定的模块:在运行的时候会先
检查系统中有没有已运行的EXPLORER.EXE,如果有,则退出。

对该病毒的传播途径--autorun.inf的分析,参见--http://192.168.2.8/bbs/read.php?tid=390918

------------------------11月15日追加------------------

杀毒前,请先保存好其他应用程序的设置,并退出其他应用程序。杀毒时桌面会消失并自动恢复,属于正常现象。


[ 此贴被百年孤独在2006-11-15 17:49重新编辑 ]
本帖最近评分记录:
  • 浮云:10 (by 小老鼠)
  • 顶端 Posted: 2006-11-03 21:23 | [楼 主]
    X



    社区建设奖
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 这一刻,我......
    等级: 管理员
    家族: 活动仔
    发贴: 22586
    威望: 10
    浮云: 142
    在线等级:
    注册时间: 2005-10-10
    最后登陆: 2024-04-15

    5come5帮你背单词 [ package /'pækid3ə/ n. 包裹,行李,包装用品;vt. 打包,包装 ]


    十分洋气0_0
    顶端 Posted: 2006-11-03 22:25 | [1 楼]
    X



    社区建设奖
    性别: 帅哥 状态: 该用户目前不在线
    头衔: 这一刻,我......
    等级: 管理员
    家族: 活动仔
    发贴: 22586
    威望: 10
    浮云: 142
    在线等级:
    注册时间: 2005-10-10
    最后登陆: 2024-04-15

    5come5帮你背单词 [ rim /rim/ n. 边,外缘 ]


    -.-怎么好象今天我清理了下启动项就啥子都没了?
    顶端 Posted: 2006-11-11 23:50 | [2 楼]
    我来我网·5come5 Forum » 电脑F.A.Q.

    Total 0.009605(s) query 6, Time now is:11-22 21:51, Gzip enabled
    Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号