天光云影 资深会员 楼主 2007-01-19 11:16 私信 引用 编辑 内存不能读取完全的问题 本人每次启机的时候总弹一个框出来。temp2.exe遇到问题需要关闭。。。。。。。如果你处于进程中进程有可能丢失。然后它给你两个选择。一个是 调试, 一个是关闭。不知道怎么搞掉它。每次开了机都有这个。我觉得特不爽。。大家帮忙谢谢[ 此贴被天光云影在2007-01-21 11:25重新编辑 ] 最近评分记录:风云币:3(cai504)
lfengnet 资深会员 #1 2007-01-19 11:25 私信 引用 编辑 机器中毒了,扫描一个日志吧。大家帮你分析一下 学习病毒分析的地方http://hi.baidu.com/teyqiuhttp://hi.baidu.com/nslog
lfengnet 资深会员 #2 2007-01-19 12:08 私信 引用 编辑 Quote:引用第2楼天光云影于2007-01-19 11:34发表的:我的没有联网线都是用U盘COPY回去的。扫描了截图工具截一个带过来?我说的是用这个System Repair Engineer2.3工具扫描一个系统日志才能分析你系统中什么问题。 学习病毒分析的地方http://hi.baidu.com/teyqiuhttp://hi.baidu.com/nslog
lfengnet 资深会员 #3 2007-01-19 13:10 私信 引用 编辑 你有没有扫描日志。我只能在网上给你找了一些关于temp2的问题解决方案。 不知道你的问题是不是这样的。如果是这样的建议按照下面的方式能不能解决temp1,temp2,在system32下,他们不是系统文件。是一种捆绑式木马的专有程序。通过temp1/2来释放自己, 建议查杀木马。解释一下temp1.exe:这是一种利用木马捆绑工具生成的寄生木马。temp1表示的是从捆绑中“解压”出来了。 解决问题的,参考以下步骤: 1、重启F8进入安全模式; 2、按Ctrl+Alt+Del,调出任务管理器,结束temp1,temp2(一般情况下可能任务管理器中没有,也就是没有加载,可以跳过这一项); 3、在工具——文件夹选项——查看,去掉“隐藏受保护系统文件”和选取“显示所有文件”; 4、点击右键选择打开进入所有硬盘盘符,删掉“autorun.inf,copy.exe,host.exe三个文件”; 5、进入c:\windows,删掉xcopy.exe和svchost.exe,大家不要担心,这两个不是系统文件(实为病毒),真正的文件在system32里; 6、进入c:\windows\system32,删除temp1.exe和temp2.exe; 7、(关键一步)点击“开始”——“运行”,输入“regedit”,打开注册表编辑器,进入“HKEY_CURRENT_USER\Software\Micosoft\Windows NT\Current Version\Windows”,删除Load字符串值,或打开清空里面的内容“c:\windows\svchost.exe”。 至此,病毒完全清理完毕,呵呵!!! 当然,清理完后大家可以把文件夹选项的相关内容改回来,具体看大家各自的喜好。 值得注意的是,病毒主要的感染方式为Xp特有的自动播放功能,我就是插U盘感染的。因此,对防护要求较高的同学可以屏蔽这一项,具体方式为: 点击开始——运行,输入“gpedit.msc”,打开组策略管理器,进入计算机配置——管理模板——系统,把“关闭自动播放”启用。 最近评分记录:风云币:8(cai504) 学习病毒分析的地方http://hi.baidu.com/teyqiuhttp://hi.baidu.com/nslog
lfengnet 资深会员 #4 2007-01-20 19:58 私信 引用 编辑 Quote:引用第9楼天光云影于2007-01-20 11:58发表的:下面是我扫描的报告==================================服务[C-DillaCdaC11BA / C-DillaCdaC11BA][Running/Auto Start] <C:WINDOWSsystem32driversCDAC11BA.EXE><Macrovision>.......你的日志不完全啊。少了启动项==东西。不过看这里就知道和我发的解决问题大同小异了。Autorun.inf[D:\][autorun]Shellexecute=copy.exe[E:\][autorun]Shellexecute=copy.exe[F:\][autorun]Shellexecute=copy.exe 学习病毒分析的地方http://hi.baidu.com/teyqiuhttp://hi.baidu.com/nslog
