当前位置: 操作系统/服务器>windows
本页文章导读:
▪D盘被人format了,高手帮小弟我看看 D盘被人format了,高手帮我看看2007-5-20 16:26:34 Security 审核成功 详细追踪 593 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经退出某过程: 进程 ID: 240 图像文件名: C:\WINDOWS\system32\format.com 用.........
▪ autorun.inf病毒折磨死人,50分求救!解决思路 autorun.inf病毒折磨死人,50分求救!硬盘有四个分区,C盘装的是WINDOWS XP,D、E、F放数据。 不知道从什么时候起D、E、F三个分区下多了两个隐藏文件:AUTORUN.INF和4CE6572D.exe,AUTORUN.INF中指定.........
▪ U盘病毒解决办法 U盘病毒昨天5.24日,小菜在学校机房上机,想下载一个校内能用用, 在浏览网页时(具体网址忘了),感染了上述病毒,无奈中,重启机器.却忘记把U盘里的病毒清空,回到宿舍后,想从U盘里装星际争霸,.........
[1]D盘被人format了,高手帮小弟我看看
来源: 互联网 发布时间: 2014-02-18
D盘被人format了,高手帮我看看
2007-5-20 16:26:34 Security 审核成功 详细追踪 593 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经退出某过程:
进程 ID: 240
图像文件名: C:\WINDOWS\system32\format.com
用户名: SZLIANWEI6933$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
"
2007-5-20 16:26:34 Security 审核成功 详细追踪 600 NT AUTHORITY\SYSTEM SZLIANWEI6933 "分派给进程一个主令牌。
分配进程信息:
进程 ID: 988
图像文件名: C:\WINDOWS\system32\svchost.exe
主用户名: SZLIANWEI6933$
主域: WORKGROUP
主登录 ID: (0x0,0x3E7)
新进程信息:
进程 ID: 1724
图像文件名: C:\WINDOWS\system32\rundll32.exe
目标用户名: swimmers
目标域: SZLIANWEI6933
目标登录 ID: (0x0,0x1EA8E)
"
2007-5-20 16:26:34 Security 审核成功 详细追踪 592 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经创建新的过程:
新的进程 ID: 1724
映像文件名: C:\WINDOWS\system32\rundll32.exe
创建者进程 ID: 988
用户名: SZLIANWEI6933$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
"
2007-5-20 16:26:20 Security 审核成功 详细追踪 593 SZLIANWEI6933\swimmers SZLIANWEI6933 "已经退出某过程:
进程 ID: 2360
图像文件名: C:\WINDOWS\system32\rundll32.exe
用户名: swimmers
域: SZLIANWEI6933
登录 ID: (0x0,0x1EA8E)
"
2007-5-20 16:26:19 Security 审核成功 详细追踪 600 NT AUTHORITY\SYSTEM SZLIANWEI6933 "分派给进程一个主令牌。
分配进程信息:
进程 ID: 988
图像文件名: C:\WINDOWS\system32\svchost.exe
主用户名: SZLIANWEI6933$
主域: WORKGROUP
主登录 ID: (0x0,0x3E7)
新进程信息:
进程 ID: 2360
图像文件名: C:\WINDOWS\system32\rundll32.exe
目标用户名: swimmers
目标域: SZLIANWEI6933
目标登录 ID: (0x0,0x1EA8E)
"
2007-5-20 16:26:19 Security 审核成功 详细追踪 592 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经创建新的过程:
新的进程 ID: 2360
映像文件名: C:\WINDOWS\system32\rundll32.exe
创建者进程 ID: 988
用户名: SZLIANWEI6933$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
"
2007-5-20 16:26:18 Security 审核成功 详细追踪 592 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经创建新的过程:
新的进程 ID: 240
映像文件名: C:\WINDOWS\system32\format.com
创建者进程 ID: 592
用户名: SZLIANWEI6933$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
"
沙发顶
不是吧 这么恐怖的一件事让你撞上了
晕倒
估计是中木马了
每个盘分配点虚拟内存,就格不掉了。
1.数据十分重要的话建议找专业数据恢复公司
2.如果数据不太重要的话个人推荐使用FinalData(其它类似软件recovery 4 all、easy recovery)来恢复
用FinalData软件可以恢复
我以前遇到过这个问题,不过要快
不好办了!是木马,又见木马!
1.数据十分重要的话建议找专业数据恢复公司
2.如果数据不太重要的话个人推荐使用FinalData(其它类似软件recovery 4 all、easy recovery)来恢复
2007-5-20 16:26:34 Security 审核成功 详细追踪 593 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经退出某过程:
进程 ID: 240
图像文件名: C:\WINDOWS\system32\format.com
用户名: SZLIANWEI6933$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
"
2007-5-20 16:26:34 Security 审核成功 详细追踪 600 NT AUTHORITY\SYSTEM SZLIANWEI6933 "分派给进程一个主令牌。
分配进程信息:
进程 ID: 988
图像文件名: C:\WINDOWS\system32\svchost.exe
主用户名: SZLIANWEI6933$
主域: WORKGROUP
主登录 ID: (0x0,0x3E7)
新进程信息:
进程 ID: 1724
图像文件名: C:\WINDOWS\system32\rundll32.exe
目标用户名: swimmers
目标域: SZLIANWEI6933
目标登录 ID: (0x0,0x1EA8E)
"
2007-5-20 16:26:34 Security 审核成功 详细追踪 592 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经创建新的过程:
新的进程 ID: 1724
映像文件名: C:\WINDOWS\system32\rundll32.exe
创建者进程 ID: 988
用户名: SZLIANWEI6933$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
"
2007-5-20 16:26:20 Security 审核成功 详细追踪 593 SZLIANWEI6933\swimmers SZLIANWEI6933 "已经退出某过程:
进程 ID: 2360
图像文件名: C:\WINDOWS\system32\rundll32.exe
用户名: swimmers
域: SZLIANWEI6933
登录 ID: (0x0,0x1EA8E)
"
2007-5-20 16:26:19 Security 审核成功 详细追踪 600 NT AUTHORITY\SYSTEM SZLIANWEI6933 "分派给进程一个主令牌。
分配进程信息:
进程 ID: 988
图像文件名: C:\WINDOWS\system32\svchost.exe
主用户名: SZLIANWEI6933$
主域: WORKGROUP
主登录 ID: (0x0,0x3E7)
新进程信息:
进程 ID: 2360
图像文件名: C:\WINDOWS\system32\rundll32.exe
目标用户名: swimmers
目标域: SZLIANWEI6933
目标登录 ID: (0x0,0x1EA8E)
"
2007-5-20 16:26:19 Security 审核成功 详细追踪 592 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经创建新的过程:
新的进程 ID: 2360
映像文件名: C:\WINDOWS\system32\rundll32.exe
创建者进程 ID: 988
用户名: SZLIANWEI6933$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
"
2007-5-20 16:26:18 Security 审核成功 详细追踪 592 NT AUTHORITY\SYSTEM SZLIANWEI6933 "已经创建新的过程:
新的进程 ID: 240
映像文件名: C:\WINDOWS\system32\format.com
创建者进程 ID: 592
用户名: SZLIANWEI6933$
域: WORKGROUP
登录 ID: (0x0,0x3E7)
"
沙发顶
不是吧 这么恐怖的一件事让你撞上了
晕倒
估计是中木马了
每个盘分配点虚拟内存,就格不掉了。
1.数据十分重要的话建议找专业数据恢复公司
2.如果数据不太重要的话个人推荐使用FinalData(其它类似软件recovery 4 all、easy recovery)来恢复
用FinalData软件可以恢复
我以前遇到过这个问题,不过要快
不好办了!是木马,又见木马!
1.数据十分重要的话建议找专业数据恢复公司
2.如果数据不太重要的话个人推荐使用FinalData(其它类似软件recovery 4 all、easy recovery)来恢复
[2] autorun.inf病毒折磨死人,50分求救!解决思路
来源: 互联网 发布时间: 2014-02-18
autorun.inf病毒折磨死人,50分求救!
硬盘有四个分区,C盘装的是WINDOWS XP,D、E、F放数据。
不知道从什么时候起D、E、F三个分区下多了两个隐藏文件:AUTORUN.INF和4CE6572D.exe,AUTORUN.INF中指定了运行这个EXE文件。
[AutoRun]
open=4CE6572D.exe
shell\open=打开(&O)
shell\open\Command=4CE6572D.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=4CE6572D.exe
右键点击这些盘符会看到“自动运行”这个菜单。这本不应该有的。
我尝试删掉这两个文件,用attrib -h -r -s然后再del。结果过了几秒中autorun.inf又出现了,而且还自动隐藏了起来!
我用GHOST恢复过两次系统,还是无济于事啊。第一次进去右击盘符还是有“自动运行”,并且能看到autorun和exe文件。
我没法安着诺顿来杀毒。只要运行安装文件,iexpolore就会自动关掉!
于是尝试上网在线杀毒,可是只要发现网页中有瑞星、在线杀毒字眼,IE会自动关掉!换成firefox也没有用。
弄了一个上午了,还是没有找到头绪啊,大家能帮帮忙吗?真是快要死掉了。
这个不应该是系统的问题的,恢复系统没有用。关键在于没有办法清除掉那两个该死的文件。
谢谢!!
你在网上可以搜索一下,有个叫 avg anti-spyware(以前叫 ewido) 的软件,用它查杀一下比较有效的。
硬盘有四个分区,C盘装的是WINDOWS XP,D、E、F放数据。
不知道从什么时候起D、E、F三个分区下多了两个隐藏文件:AUTORUN.INF和4CE6572D.exe,AUTORUN.INF中指定了运行这个EXE文件。
[AutoRun]
open=4CE6572D.exe
shell\open=打开(&O)
shell\open\Command=4CE6572D.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=4CE6572D.exe
右键点击这些盘符会看到“自动运行”这个菜单。这本不应该有的。
我尝试删掉这两个文件,用attrib -h -r -s然后再del。结果过了几秒中autorun.inf又出现了,而且还自动隐藏了起来!
我用GHOST恢复过两次系统,还是无济于事啊。第一次进去右击盘符还是有“自动运行”,并且能看到autorun和exe文件。
我没法安着诺顿来杀毒。只要运行安装文件,iexpolore就会自动关掉!
于是尝试上网在线杀毒,可是只要发现网页中有瑞星、在线杀毒字眼,IE会自动关掉!换成firefox也没有用。
弄了一个上午了,还是没有找到头绪啊,大家能帮帮忙吗?真是快要死掉了。
这个不应该是系统的问题的,恢复系统没有用。关键在于没有办法清除掉那两个该死的文件。
谢谢!!
你在网上可以搜索一下,有个叫 avg anti-spyware(以前叫 ewido) 的软件,用它查杀一下比较有效的。
[3] U盘病毒解决办法
来源: 互联网 发布时间: 2014-02-18
U盘病毒
昨天5.24日,小菜在学校机房上机,想下载一个校内能用用, 在浏览网页时(具体网址忘了),感染了上述病毒,无奈中,重启机器.却忘记把U盘里的病毒清空,回到宿舍后,想从U盘里装星际争霸,双击了U盘,立即弹出了一个修改注册表的对话框(时间很短内容为在run的下建立自运行键值)在我还没做出选择之前,已消息失,之后进程内多了taxdklr.exe和wwbjnoo.exe,在本地文件system32文件夹中也多出了2个相应的exe隐藏文件和upxdnd.exe隐藏文件.而且所有硬盘中均被装入了mjsqkvk.exe和autorun.inf的隐藏文件,直到今天5.25日,瑞星还没有发布关于此病毒的相关信息,
此病毒的厉害之处在于无法进入安全模式,一进安全模式和调试等模式,立马蓝屏,(开始的几次还可以正常启动,不可以进安全模式,后来正常启动都不行了,在windows图标闪一下后,就蓝屏)小菜尝试了在DOS查杀,虽然清空了上面所找到的病毒,可是进入还是蓝屏,提示说为了保护电脑,
最简单的办法是重装系统,在时间的效率上是最快的。如果系统很重要可以用深山红叶的PE系统盘进光盘系统试着修复系统文件,删除病毒的注册表键值等。如果能进系统了千万不要双击其他盘符,先用资源管理器打开,显示所有隐藏文件和系统文件后看看其他盘根目录下有没有autorun.inf和*.exe文件,删之!
把每个盘根目录的autorun.inf 都先删除,再删除对应的启动项,重启,用杀毒软件杀,
很明显,还有系统服务在后台运行,光删除文件是没有用的,先需要删除服务,否则这些文件会自我复制的
你可以用卡卡助手来调整一些启动的进程和服务,点击系统启动项,对查看登入项的一些可疑文件,同时对服务和驱动等进行查看,一般有个小窍门就是看文件发布的公司名字,不是微软发布的比较可疑(声卡\显卡等除外)
最好还是用深山红叶PE系统引导起来,打开查看这个autorun.inf文件的内容,找到这个程序删掉.然后深山红叶里有个ERD系统,进入编辑一下注册表.把刚才autorun.inf里有关的东西干掉,看看服务里有没有什么多余的服务,停止掉试试.这个不好说.如果说不行的话就只能重装系统了.
昨天5.24日,小菜在学校机房上机,想下载一个校内能用用, 在浏览网页时(具体网址忘了),感染了上述病毒,无奈中,重启机器.却忘记把U盘里的病毒清空,回到宿舍后,想从U盘里装星际争霸,双击了U盘,立即弹出了一个修改注册表的对话框(时间很短内容为在run的下建立自运行键值)在我还没做出选择之前,已消息失,之后进程内多了taxdklr.exe和wwbjnoo.exe,在本地文件system32文件夹中也多出了2个相应的exe隐藏文件和upxdnd.exe隐藏文件.而且所有硬盘中均被装入了mjsqkvk.exe和autorun.inf的隐藏文件,直到今天5.25日,瑞星还没有发布关于此病毒的相关信息,
此病毒的厉害之处在于无法进入安全模式,一进安全模式和调试等模式,立马蓝屏,(开始的几次还可以正常启动,不可以进安全模式,后来正常启动都不行了,在windows图标闪一下后,就蓝屏)小菜尝试了在DOS查杀,虽然清空了上面所找到的病毒,可是进入还是蓝屏,提示说为了保护电脑,
最简单的办法是重装系统,在时间的效率上是最快的。如果系统很重要可以用深山红叶的PE系统盘进光盘系统试着修复系统文件,删除病毒的注册表键值等。如果能进系统了千万不要双击其他盘符,先用资源管理器打开,显示所有隐藏文件和系统文件后看看其他盘根目录下有没有autorun.inf和*.exe文件,删之!
把每个盘根目录的autorun.inf 都先删除,再删除对应的启动项,重启,用杀毒软件杀,
很明显,还有系统服务在后台运行,光删除文件是没有用的,先需要删除服务,否则这些文件会自我复制的
你可以用卡卡助手来调整一些启动的进程和服务,点击系统启动项,对查看登入项的一些可疑文件,同时对服务和驱动等进行查看,一般有个小窍门就是看文件发布的公司名字,不是微软发布的比较可疑(声卡\显卡等除外)
最好还是用深山红叶PE系统引导起来,打开查看这个autorun.inf文件的内容,找到这个程序删掉.然后深山红叶里有个ERD系统,进入编辑一下注册表.把刚才autorun.inf里有关的东西干掉,看看服务里有没有什么多余的服务,停止掉试试.这个不好说.如果说不行的话就只能重装系统了.
最新技术文章: