本文目录一览:
有没有病毒可以厉害到直接断电源的?
是自动重启
电脑自动重启原因小结- -
一、软件方面
1.病毒
“冲击波”病毒发作时还会提示系统将在60秒后自动启动。
木马程序从远程控制你计算机的一切活动,包括让你的计算机重新启动。
清除病毒,木马,或重装系统。
2.系统文件损坏
系统文件被破坏,如Win2K下的KERNEL32.DLL,Win98 FONTS目录下面的字体等系统运行时基本的文件被破坏,系统在启动时会因此无法完成初始化而强迫重新启动。
解决方法:覆盖安装或重新安装。
3.定时软件或计划任务软件起作用
如果你在“计划任务栏”里设置了重新启动或加载某些工作程序时,当定时时刻到来时,计算机也会再次启动。对于这种情况,我们可以打开“启动”项,检查里面有没有自己不熟悉的执行文件或其他定时工作程序,将其屏蔽后再开机检查。当然,我们也可以在“运行”里面直接输入“Msconfig”命令选择启动项。
二、硬件方面
1.机箱电源功率不足、直流输出不纯、动态反应迟钝。
用户或装机商往往不重视电源,采用价格便宜的电源,因此是引起系统自动重启的最大嫌疑之一。
①电源输出功率不足,当运行大型的3D游戏等占用CPU资源较大的软件时,CPU需要大功率供电时,电源功率不够而超载引起电源保护,停止输出。电源停止输出后,负载减轻,此时电源再次启动。由于保护/恢复的时间很短,所以给我们的表现就是主机自动重启。
②电源直流输出不纯,数字电路要求纯直流供电,当电源的直流输出中谐波含量过大,就会导致数字电路工作出错,表现是经常性的死机或重启。
③CPU的工作负载是动态的,对电流的要求也是动态的,而且要求动态反应速度迅速。有些品质差的电源动态反应时间长,也会导致经常性的死机或重启。
④更新设备(高端显卡/大硬盘/视频卡),增加设备(刻录机/硬盘)后,功率超出原配电源的额定输出功率,就会导致经常性的死机或重启。
解决方法:现换高质量大功率计算机电源。
2.内存热稳定性不良、芯片损坏或者设置错误
内存出现问题导致系统重启致系统重启的几率相对较大。
①内存热稳定性不良,开机可以正常工作,当内存温度升高到一定温度,就不能正常工作,导致死机或重启。
②内存芯片轻微损坏时,开机可以通过自检(设置快速启动不全面检测内存),也可以进入正常的桌面进行正常操作,当运行一些I/O吞吐量大的软件(媒体播放、游戏、平面/3D绘图)时就会重启或死机。
解决办法:更换内存。
③把内存的CAS值设置得太小也会导致内存不稳定,造成系统自动重启。一般最好采用BIOS的缺省设置,不要自己改动。
3.CPU的温度过高或者缓存损坏
①CPU温度过高常常会引起保护性自动重启。温度过高的原因基本是由于机箱、CPU散热不良,CPU散热不良的原因有:散热器的材质导热率低,散热器与CPU接触面之间有异物(多为质保帖),风扇转速低,风扇和散热器积尘太多等等。还有P2/P3主板CPU下面的测温探头损坏或P4 CPU内部的测温电路损坏,主板上的BIOS有BUG在某一特殊条件下测温不准,CMOS中设置的CPU保护温度过低等等也会引起保护性重启。
②CPU内部的一、二级缓存损坏是CPU常见的故障。损坏程度轻的,还是可以启动,可以进入正常的桌面进行正常操作,当运行一些I/O吞吐量大的软件(媒体播放、游戏、平面/3D绘图)时就会重启或死机。
解决办法:在CMOS中屏蔽二级缓存(L2)或一级缓存(L1),或更换CPU排除。
4.AGP显卡、PCI卡(网卡、猫)引起的自动重启
①外接卡做工不标准或品质不良,引发AGP/PCI总线的RESET信号误动作导致系统重启。
②还有显卡、网卡松动引起系统重启的事例。
5. 并口、串口、USB接口接入有故障或不兼容的外部设备时自动重启
①外设有故障或不兼容,比如打印机的并口损坏,某一脚对地短路,USB设备损坏对地短路,针脚定义、信号电平不兼容等等。
②热插拔外部设备时,抖动过大,引起信号或电源瞬间短路。
6.光驱内部电路或芯片损坏
光驱损坏,大部分表现是不能读盘/刻盘。也有因为内部电路或芯片损坏导致主机在工作过程中突然重启。光驱本身的设计不良,FireWare有Bug。也会在读取光盘时引起重启。
7.机箱前面板RESET开关问题
机箱前面板RESET键实际是一个常开开关,主板上的RESET信号是+5V电平信号,连接到RESET开关。当开关闭合的瞬间,+5V电平对地导通,信号电平降为0V,触发系统复位重启,RESET开关回到常开位置,此时RESET信号恢复到+5V电平。如果RESET键损坏,开关始终处于闭合位置,RESET信号一直是0V,系统就无法加电自检。当RESET开关弹性减弱,按钮按下去不易弹起时,就会出现开关稍有振动就易于闭合。从而导致系统复位重启。
解决办法:更换RESET开关。
还有机箱内的RESET开关引线短路,导致主机自动重启。
8. 主板故障
主板导致自动重启的事例很少见。一般是与RESET相关的电路有故障;插座、插槽有虚焊,接触不良;个别芯片、电容等元件损害。
三、其他原因
1.市电电压不稳
①计算机的开关电源工作电压范围一般为170V-240V,当市电电压低于170V时,计算机就会自动重启或关机。
解决方法:加稳压器(不是UPS)或130-260V的宽幅开关电源。
②电脑和空调、冰箱等大功耗电器共用一个插线板的话,在这些电器启动的时候,供给电脑的电压就会受到很大的影响,往往就表现为系统重启。
解决办法就是把他们的供电线路分开。
2.强磁干扰
不要小看电磁干扰,许多时候我们的电脑死机和重启也是因为干扰造成的,这些干扰既有来自机箱内部CPU风扇、机箱风扇、显卡风扇、显卡、主板、硬盘的干扰,也有来自外部的动力线,变频空调甚至汽车等大型设备的干扰。如果我们主机的搞干扰性能差或屏蔽不良,就会出现主机意外重启或频繁死机的现象。
3、交流供电线路接错
有的用户把供电线的零线直接接地(不走电度表的零线),导致自动重启,原因是从地线引入干扰信号。
4.插排或电源插座的质量差,接触不良。
电源插座在使用一段时间后,簧片的弹性慢慢丧失,导致插头和簧片之间接触不良、电阻不断变化,电流随之起伏,系统自然会很不稳定,一旦电流达不到系统运行的最低要求,电脑就重启了。解决办法,购买质量过关的好插座。
5. 积尘太多导致主板RESET线路短路引起自动重启。
电脑中病毒啊
看问答篇第3问,
此篇写于2009/07/18,从晚上10点开始到凌晨4点,但当时是中毒状态,一边杀毒一般写,结果本来都写好了,但操作时IE崩溃了,12点后的我没保存,全部没了,当时心痛,真的很痛,19号有事外出,没写,今天补上,红色部分为木马或特别说明,淡红色为说明,请看完这篇文后再实践,总结在最后,记得要先看
第一篇,工具篇
去下sreng,xuetr,wsyscheck0116中文版,process explorer,没有去网上下,没网用U盘拷,没U盘,没U盘也继续看
sreng
xuetr
wsyscheck0116中文版
process explorer
第二篇 准备篇
一,判断电脑中是什么类型的木马,有没有autorun,有没有映像劫持,有没有dll插入,有没有驱动启动。
1,有无autorun
看各个盘下有无autorun.inf文件,文本格式的,系统隐藏属性,看不见,工具-文件夹选项-查看-隐藏受保护的操作系统文件(推荐) 去√,显示所有文件和文件夹。打点,隐藏已知文件扩展名,去√,
没有,过;有,删了又有,过;设置不能改,过;中毒中,当然不让你改。
2,有无映像劫持,
用sreng看,在 启动项目-注册表,下来有IFEO,红色的,恭喜,被劫持了,删不了吧;用xuetr看,映像劫持 那里,有,删里刷新又出来,还是删不了吧;在注册表里看,运行RegEdit,打不开,提示被管理员禁用,放下,用xuetr上面的打开,杀完毒在解决,怎么解决,我不知道,直接百度,在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 里面就是映像劫持了,能删你就删,能不能我不知道,没试过。
3,有无dll插入,
用sreng2的智能扫面,看报告里的东西,标记为有N/A,[ ],file ismissing,这些标有有可能是exe,dll,fon,sys等格式的,有且很多 又百度不到说明,恭喜你,中了,用xuetr同样可以,打开xuetr,如果提示有线程注入,点是就行,你随便点个进程,木马特喜欢插explorer这个进程,就点它好了,右键-查看进程模块,你会发现很多没有文件厂商说明的数字字母命名的dll,fon格式的东西,再次恭喜你,中了。QQ也是木马喜欢插的一个。
4,有无木马驱动,
用sreng查看,点→启动项目→服务→,在win32和驱动里面找吧,名字怪怪的,数字字母混合的有没有啊?有的话,中了,记得隐藏已认证的微软项目哦,不然那么多够你看的,当你点注册表那项时提示你appInit_dlls,不是默认值时,差不多也是中了,sreng看不太明白,看xuetr打开xuetr,打开过的就别打开了,在服务那找,没文件厂商的,名字怪怪的,比sreng看起来好多了吧,信息很全了,在道内核模块那找,找什么?没什么什么的呀,上面说过就忘了。
第二篇到此结束,谢谢观赏
第三篇 问答篇
1,问:安全模式进不去怎么办?蓝屏?没反应?
答:用sreng修复功能,那有,找不到别找我,修改注册表参照修 复安全模式篇,不再这里,是另一篇文章,还没写
2,exe,com,bat等可执行文件打不开怎么办?
答:你用sreng修复啊!不说打不开了吗?忘了,不好意思(~O(∩_∩)O~)。
方法1,改名字,exe运行不了该成.com,.com运行不了改成.bat,bat运行不了改成.cmd,还运行不了啊?看方法2吧;
方法2,打开程序,打开选择那选→从列表中选择程序→选windows command processor,也就是cmd,没有去windows\system32下找,这样你发先打开cmd窗口了吧,不要问我为什么能打开cmd.exe,我也不知道,问比尔盖茨去,有cmd就好办了,在cmd里输入assoc .exe=exefile,enter键,输 ftype exefile="%1" %*,exe程序能运行了,类推就是com了,等等,等等,能运行exe程序你该笑了吧,没cmd看方法3去,
方法3,没cmd找别人借个,U盘不用我借你吧;用安装盘进windows PE系统,操作方法如2,PE进去找不到硬盘看方法4
方法4,除了重装系统外的所有方法,暂时没想到,
方法5,刚想到的,系统装到其他分区去,用这个系统启动杀木马就行了,适合有重要资料的人使用,没必要就格了吧,省事
3,杀毒软件打不开怎么办?首页被改怎么办?输关键字如“杀毒”网页自动关怎么办?
答:参照 准备篇,问答篇第2问,中毒了吗?中了像下看,肯定中了的啦!!
4,我电脑中了!求高手帮忙解决或我电脑中毒了怎么办啊!!??百度知道常见问题。
答:我的回答,杀毒,或就你那十来个字,我总结出三个字:不知道,再或贴sreng扫描报告,结果没一个贴的,我失望,只好天天去挣2分去了,
在此认真回答,请把这篇文章看完,保证你有收获,不想看完的话扫sreng报告发到我邮箱里去只要我有空帮你看,282967372@163.com,等不及那就就格了重装或找有空的人,
5,什么是进程?什么的pid?什么是dll?什么是驱动?
答:去百度搜,我也说不清楚,简单比方说,程序是一穿衣服人的话,进程就一裸体人,PID就一身份证,dll(指木马)就一病毒细菌的干活,程序就是穿衣服的人,很多很像,可以一模一样,没人说你,进程就像双胞胎乃至多胞胎,总归有个数,PID就一身份证,一人一个,dll(指木马)就一寄生虫,在人体(程序)内活的,出来就死翘翘了;驱动(专指木马)就一异型,难找难宰,自己能活,还楞的装成个人,一不小心就放过去了;
6,为什么你会知道哪些是木马的进程/驱动/dll/fon?
答:我也不知道太阳离我们有多远,那是别人告诉我的,所以你要去百度找进程方面的资料,然后记下来,时间久了就知道了,也可以经常用sreng扫描报告对比,我经常这样做的
7,你不是说是手动杀毒吗?哪来那么多软件要用?
答:问你1+2+3+。。+100=?你是拿xp那个计算器加加加,得到5050呢还是下个软件直接输个1和100得到5050呢?简单问题复杂化。
8,你经常说免疫是怎么回事?
答:就建一个和木马同名的文件夹或文件,在里面在放个。。的文件,删不了就行
那个。。文件夹建法
我们以autorun免疫为例:运行里输cmd打开后输:
md c:\autorun.inf\autorun.inf..\ ,几个点随你,但要=2,
md d:\autorun.inf\免疫...\ ,下面这个文件夹名字随便取, 啊!类推,你有几个盘就建几个
删除这样的文件夹直接在cmd里输rd c:\autorun.inf\autorun.inf..\
进入文件夹在运行里输 c:\autorun.inf\autorun.inf..\
9,出现comres.dll无法找到入口点怎么办?
答:这个一般是木马替换了原来的正常文件,如果出现对话框,你点点点,就没了,然后上网下comres.dll,在下,放到c盘根目录下或Windows目录下,其他盘也行,不过建议放到C盘下,你放到system32目录下,不会让你放的,不信你放了就知道了,然后用regsvr32注册,命令是regsvr32 c:\comres.dll 这样重启电脑后所有的软件都用c盘下的这个comres.dll了,再去32目录下删了原来的复制正常的过去,再注册回去,就是regsvr32 c:\Windows\system32\comres.dll 。
方法2,用xuetr全局卸载这个dll,就能复制到32目录下了
10,你 啰嗦半天到底还杀不杀了?
答:现在就杀,现在就杀,不要吓我,我怕怕!!!
第四篇 动刀篇
实例:以为一网友杀毒并用其机器中的木马为基础讲解下,我现在机器可中中毒着,没用虚拟机的,杀不了我也要 格! 格! 格!
病毒名:system.exe ,释放文件为system.dll ,此dll文件用txt打开后都是乱码,但有,这个东西,都是木马程序,密码我搞不定,不会,真的!不会
在每个盘生成autorun.inf 和AutoRun.vbs和system.exe文件,autorun.inf内容为:
[AutoRun]
shellexecute=AutoRun.vbs
shell\Auto\command=AutoRun.vbs
就一简单执行AutoRun.vbs这个脚本程序,然后这个脚本程序又执行system.exe,脚本程序内容为:
set yu=wscript.createobject("wscript.shell")
yu.run "cmd /c start system.exe",0
yu.run "cmd /c start E:\",0 →c盘的就是C:\',0,d盘你知道了吧
这里就是典型的autorun木马了,这个system木马在每个盘下创建自己,你一不小心打开盘就中了,预防就关了自动播放,在每个盘下建个autorun.inf文件夹,
下面说system.exe还干了什么事,基本就是狂下木马,修改首页, 然后桌面不能用,explorer.exe被强奸了,下完就有桌面了,然后分析干什么事,
重启后没有桌面,但你等会就有了,用process explorer看的话会发现当explorer.exe下面蹦出rundll32.exe后桌面就出来,简单说就是explorer加载了rundll32.然后rundll32.exe加载木马,一会就出现xttp6j11x.exe,cmd.exe有3个,cmd不是木马,只是被调用了,一个iexplore.exe,IE知道吧,你没开网页也会有,不要搞忘了,一个1a1.exe,QQ登不上,有中奖消息提示你
总结下:进程出现
xttp6J11x.exe,在c:\windows\system32目录下
1a1.exe ,在c:\windows\system32目录下
iexplore.exe 被木马强奸的,结束就可以了不用删
cmd.exe 被木马强奸的,结束就可以了不用删,有3个,我这的是3个
QQ无法登陆,出现QQ中奖消息提示
上面说的都是基本症状,就是简单看出来的,下面我们用这几个软件看看,重点部分了,这里你搞明白了,以后你中毒就就会做了,
用sreng看,我直接扫描报告,把报告里面的部分东西贴上来,具体分析
启动项目 ,也就是软件上的那个启动项目里面的东西,更具体了,有一个正常的对比
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exeC:\WINDOWS\system32\ctfmon.exe [(Verified)Microsoft Windows Component Publisher] 有说明,此项对比用
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
load [N/A] 这里通常什么都没有的注意了
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
systemC:\WINDOWS\system32\system.exe [] ←我说的那个[ ] ,木马添加自启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
stupC:\WINDOWS\system32\1a1.exe []←我说的那个[ ] ,木马添加自启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLsC:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll, [] 木马
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
{AB900155-F1F0-4165-9E73-67BC13BBCE89}C:\WINDOWS\system32\xg4hAPNygs29.dll []木马
{22EEBD06-A251-44C3-BB16-426025319471}C:\WINDOWS\system32\e999G49bN.dll []木马
{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll []木马
{76CBCF38-0583-44C7-A1AE-D463DFE625EC}C:\WINDOWS\system32\skcfujQ5EDN.dll []木马
{76B9BA7A-81D0-4979-8598-8471F2AB5186}C:\WINDOWS\system32\76B9BA7A.dll []
{9726072A-8039-4958-B609-565CF7A16B38}C:\WINDOWS\system32\JPccCJnKygDdp3.dll []
-B20E-0B656D450264}C:\WINDOWS\system32\A0C86020.dll []
{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}C:\WINDOWS\system32\Va7SpUWgCA5f.dll []
{C1606DC4-C352-4B1F-A0B5-52DF3204E05D}C:\WINDOWS\system32\up9fEkYRsKHT.dll []木马
{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}C:\WINDOWS\system32\122B901E.dll []
{41912A21-4337-4E99-8C30-80A8434B0793}C:\WINDOWS\system32\zHvqM6hMxwpem.dll []
{11B10F7F-FB23-466D-BDC3-9591CF02EC17}C:\WINDOWS\fonts\uXUsF2RrQy.fon []
{37C5D66A-8B1B-4545-8112-3751194F6A4A}C:\WINDOWS\system32\taNjsFa2tT2Dh.dll []
{71C4F360-FF1E-413E-B17A-0CA267A78E97}C:\WINDOWS\system32\qB5BKZy7vR5m.dll []
{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}C:\WINDOWS\system32\ndxq9awMc.dll []
{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}C:\WINDOWS\system32\ed78ab9.dll []
{DA112397-5376-4E52-A333-A85284658DEA}C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon []木马 fon格式的,这种我找不到源文件,
由于太多,我就不全部标记,也没贴全,毕竟这只是例子,大家自己找,自己判断,就找数字字母混合型,N/A,[ ] File is missing 的看自己了,最好记下来,后面有用,
启动文件夹 一般木马不会放这,但不排除也有
N/A
=========== =======================
服务
太多,就贴个正常的对比下,和木马
[Intel?PROSet/Wireless WiFi Service / S24EventMonitor][Running/Auto Start]
C:\Program Files\Intel\WiFi\bin\S24EvMon.exeIntel(R) Corporation 无线网卡的,有说明
[xttp6J11x / xttp6J11x][Running/Auto Start]
C:\WINDOWS\system32\xttp6J11x.exeN/A 上面提到的,在进程里的那个程序,此项可以直接在sreng那里删除后停止启动,xuetr也行。
驱动
驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Manual Start]
system32\DRIVERS\asyncmac.sysN/A 对比5,6月份报告没有此项,但7月份有,无法判断是不是正常,我先放着了
[eamon / eamon][Running/Auto Start]
[ehdrv / ehdrv][Running/System Start]
system32\DRIVERS\ehdrv.sysN/A 对比 5 6月份没有,7月份有,发现是ESET的,难道是因为是把360版换成官方版的缘故?
peio / peio][Running/Manual Start]
\??\C:\WINDOWS\system32\Drivers\peios.sysN/A 对比567月都没有,暂时判断为木马
[yrgpvq / yrgpvq][Running/Boot Start]
\SystemRoot\system32\drivers\lwtsg.sysN/A 不用对比,我直接判断为木马,服务名驱动名都是乱七八糟的,你不要问为什么,我的感觉,时间久了你也就能感觉了
正在运行的程序
我就贴两个个出来说明下,
[PID: 1264 / SYSTEM][C:\WINDOWS\system32\xttp6J11x.exe] [N/A, ] 那个木马,
标记看到了吗?system.exe没有运行,因为我重启后ESET的杀毒程序没启动,但服务启动了,估计被杀了,还有上面提到几个也都没有,
在这我要说下,不是广告不是托,ESET比瑞星强,我那网友开着瑞星我帮他QQ远程,进程里那几个木马都在,瑞星除了自保了,什么也没做,扫也扫不到,所以给大家的建议,装瑞星的还是卸了吧,再说一遍,我不是托,我的经历告诉我瑞星不行,不要和我辩,你可以选择继续用瑞星那个不咋地的杀软,
[PID: 1324 / IEXPLORE.EXE][IEXPLORE.EXE] [Microsoft Corporation, 7.00.6000.16791 (vista_gdr.081217-1620)]
插入型的木马,一般是dll文件,fon文件,插在IEXPLORE.EXE里
[C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll] [N/A, ] 这个木马每个都插,厉害,也不怕身体受得了受不了,也点H吗?
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)] 我正常的很
[C:\Documents and Settings\jly\Application Data\S3.dll] [N/A, ] 木马,
[C:\WINDOWS\system32\mtlrd.dll] [, 4.4.3.0]
[C:\WINDOWS\system32\COMRes.dll] [Microsoft Corporation, 2001.12.4414.42] 网友那个
COMRes.dll被木马替换还是感染什么的我说不好,但是网友的标记为N/A,肯定是木马了,就是最近流行的COMRes.dll找不到入口点什么的,我这个没有,奇怪,难道我长的帅?如果你的被替换,请参照问答篇
[C:\WINDOWS\fonts\YZefWbcSzhK6J.fon] [N/A, ] 木马 这个字库格式的木马我找不到路径,所以没的删除,但你按路径打的开,没办法我改了打开方式,让他用记事本打开,我只是想看看怎么找这个文件,在这说下,没什么意思,
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll] [N/A, ]木马
[C:\WINDOWS\system32\taNjsFa2tT2Dh.dll] [N/A, ]木马
[C:\WINDOWS\fonts\uXUsF2RrQy.fon] [N/A, ]木马
[C:\WINDOWS\system32\Va7SpUWgCA5f.dll] [N/A, ]木马
[C:\WINDOWS\system32\08223B03.dll] [N/A, ] 木马
[C:\WINDOWS\fonts\xPjWNGd8cERq.fon] [N/A, ] 木马
[C:\WINDOWS\fonts\fyrwJf5Qfhh.fon] [N/A, ] 木马
[C:\WINDOWS\system32\704C3595.dll] [N/A, ] 木马
[C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon] [N/A, ] 木马
[C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll] [N/A, ] 木马
[C:\WINDOWS\system32\JPccCJnKygDdp3.dll] [N/A, ] 木马
[C:\WINDOWS\system32\76B9BA7A.dll] [N/A, ] 木马
[C:\WINDOWS\system32\skcfujQ5EDN.dll] [N/A, ] 木马
[C:\WINDOWS\system32\e999G49bN.dll] [N/A, ] 木马
[C:\WINDOWS\system32\xg4hAPNygs29.dll] [N/A, ]木马
[C:\WINDOWS\system32\Mit47503109Lic.dll] [, 1, 0, 0, 1] 判断不好,放着了
[C:\WINDOWS\system32\up9fEkYRsKHT.dll] [N/A, ] 木马
我没有贴全,但你一定要找全,并记下名字,后面有用,现在可能会很繁琐,但以后就不会了,熟能生巧
下面的这两项有问题就修复下吧,杀毒后修复
Autorun.inf
HOSTS 文件
上面用sreng这个软件查看部分就结束了,如果你熟悉的话都可以处理了,但我没有处理,就是想一步一步说明,当你熟悉后,你自然知道怎么做了
xuetr功能使用说明 简单说明
这里我们就要操刀了。sreng只是辅助使用,xuetr才是主角,,补充:你可以用类似xuetr的工具,如冰刃,狙剑,等等,
首先打开xuetr,
本工具配置 :这里可以全部√上,也可以不管,个人操作习惯问题。
映像劫持:里面有东西,试试删除,如果在本工具配置那都√上了,里面有东西你删除后刷新也不会再有了,如果你没配置,刷新后又有,可以不用管,杀完毒再删就没了
DCP定时器,不知道干什么的,没用过,不管
服务:找没文件厂商,没描述,名字怪怪的,知道怎么怪吧?这里一般都是Microsoft Corporation居多,还有显卡厂商,一些软件厂商,杀软,播放器厂商等等,要仔细看,我以前就看到个厂商叫computer is here的厂商,你告诉我这是不是木马,肯地是。,找到后根据sreng的报告选择删除或停止服务,建议用停止,因为有时不能判断,
其他的不说了,直接看内核那
内核模块:这里比较危险,删错容易蓝屏死机,所以要判断准确了,同样和服务那样找,xuetr.sys这个没厂商,这是xuetr自己的驱动,不要删了。 不确定的校验数字签名
进程:
建议值保留,其他都结束了
System Idle Process 系统空闲进程,级别高,没有映像路径
System 系统关键进程,映像路径 是system
smss.exe system32目录下,系统关键进程,
csrss.exe system32目录下,系统关键进程
winlogon.exe system32目录下,系统关键进程
services.exe system32目录下,系统关键进程
lsass.exe system32目录下,系统关键进程
svchost.exe system32目录下,系统关键进程,有几个留几个
wmiprvse.exe system32\wbem下,可能你的没有
explorer.exe windows目录下,简单说就是桌面,没了就没桌面,可以结束,没桌面不习惯,留着
ctfmon.exe system32目录下,输入法,没了没输入法,可以没有,不习惯?留着吧
XueTr.exe xuetr自己,任意目录下,看你放哪了
结束进程出现60秒倒计时关机时在运行里输入 shutdown -a 记得敲 回车键 或 点 确定,如果有杀毒进程的话也可以留着,
为什么留这几个进程?还记得木马喜欢插吗?进程少,你干活就少啊,并且把木马进程也结束了是吧
现在开始卸载dll,上面我们已经删除驱动和服务了还记得吗?卸载完dll就大功告成,杀软肯定能打开了,如果打不开,就是还有漏的,继续找,重复以上步骤,直到杀软能打开扫描杀毒为止
一个一个进程看,右键查看进程模块,找到我上面要你记下的那些N/A的吗?全局卸载,一般这些木马在这也是一样,没文件厂商,全局卸载过程中可能会出现桌面崩溃,软件崩溃,等等,不用管,只要不死机就行,记得最后卸载xuetr里面的,不然xuetr死了后你用任务管理器结束不了,要重启机器,那样你就白忙了
注意:有可能你会发现sreng扫描的标记为N/A,[ ] 那些,就是你记的那些,在xuetr看有文件厂商,你会奇怪为什么了,我也不明白,但一般你校验数字签名的话 没有签名就可以卸载了,但有的没文件厂商,你校验数字签名有签名的不要卸载
全部卸载完打开杀软,杀毒吧,
总结:我们可以看到木马的几个通性,名字怪,08223B03.dll 纯数字,xg4hAPNygs29.dll,xttp6J11x.exe,混合型,lwtsg.sys 没规律的字母组合,sreng扫描都是N/A, xuetr,看数字签名基本没有
peios.sys 这是木马,我上面无法判断,所以我停止服务,但没删,ESET 启动后扫到为木马并且隔离了
asyncmac.sys ,不是木马,ESET没报,查看文件有厂商,是微软的,网上检测 ,过了,没事
一般用xuetr是先结束进程,后停止服务,在删除内核的木马,上面是根据软件界面来的,但同样可行,
杀软启动后就可以把病毒木马杀了,只要你别用瑞星就行,
最后用xuetr修复映像劫持,这样你的很多软件就能打开了,sreng修复累死人,不建议用,修复HOSTs用sreng,xuetr不好用,此木马修改的首页也可以改回来了,,任务栏的快捷方式要点属性把后面的,删了
扫描sreng报告时最好关了网页,QQ,等所有软件,减少扫描内容方便大家看
那个木马我放到里了,图片区,想玩的去下
电脑开不了机,开机过程老是自动重启.
电脑开机就自动重启的解决办法步骤:
一. 硬件问题
1. 电源问题:电源供给电压不足,且机箱中耗电硬件变多或功耗变大,从而导致电源输出的电压急剧下降,进而导致电脑系统的工作不稳定。最后自然就会出现电脑自动重启的情况。不稳定的电压还会对其它用电设备造成损坏。
解决方案:去正规店铺购买一块质量好的电源换上即可。
2. 内存问题:内存出现问题也会导致系统自动重启。内存出错一般是接触不良或内存条损坏。
解决方案:如果是接触不良可能是因为下方芯片接口有锈点,用橡皮檫檫一下,再安装回去即可。如果是损坏,则只能去买一块好的内存条。
3. 风扇问题:如果电脑内部风扇转速过低,从而导致散热不行,进而导致机箱内部温度过高,这也会导致系统自动重启。
解决方案:重新换一块功率高,转速快的风扇即可。
二. 软件问题
1. 病毒问题:有一些病毒如“冲击波病毒”会提示用户在60秒后计算机自动重启,又或者是有木马病毒从控制了计算机,使得用户的计算机不断的进行自动重新启动的操作。
解决方案:清楚木马及病毒软件、对系统进行重新安装。
2. 系统文件损坏:如Win2K下的KERNEL32.DLL.Win98 FONTS目录下面的字体等系统开机时会自动运行基本的文件被破坏。电脑系统在启动后因无法启动系统基本文件从而被迫自动重新启动。
解决方法:对被破坏的系统文件进行覆盖安装或重新安装。
3. 用户自身对系统的设置问题:如果用户在“计划任务栏”中设置了重新启动或加载某些工作程序时到一定时间后会自动重启等。当时间到了后,计算机系统便会按照用户的设定自动重新启动。
解决方案:打开“启动”。检查是否有自己不熟悉的执行文件或其他定时工作程序。如果有就将其关闭后再重新开机检查即可。
资料拓展:
1. 内存是计算机中重要的部件之一,它是与CPU进行沟通的桥梁。计算机中所有程序的运行都是在内存中进行的,因此内存的性能对计算机的影响非常大。内存(Memory)也被称为内存储器,其作用是用于暂时存放CPU中的运算数据,以及与硬盘等外部存储器交换的数据。
2. 只要计算机在运行中,CPU就会把需要运算的数据调到内存中进行运算,当运算完成后CPU再将结果传送出来,内存的运行也决定了计算机的稳定运行。 内存是由内存芯片、电路板、金手指等部分组成的。
1. 电脑风扇又称为散热风扇,一般用于散热。提供给散热器和机箱使用。
2. 市面上一般的散热风扇尺寸大小由直径2.5cm到30cm都有,厚度由6mm到76mm都有,而根据不同运作要求,可采用罕见的AC(交流,由家用插座取电)和常见的D电源(直流,经计算机火牛或主板取电),大多使用二相摩打(两组铜线圈,共四单元),在转速不高情况下有利于节约生产成本。
