现象:杀毒软件失效,安全模式进不了,字体出错等。清除修复方法如下:1.删除以下文件:(参考怎样根据SREng日志的分析报告清除病毒)c:\windows\fonts\bnitnojy.dll c:\windows\fonts\xssuxtav.dll c:\windows\fonts\rysqjhbs.dll c:\docume~1\admini~1\locals~1\temp\msdfjsadfjd.dat……
2009年3月9日
开机显示ntsd.exe程序错误
同事的电脑一开机,就弹出一个“程序错误”的提示框:“ntsd.exe产生了错误,会被windows关闭。您需要重新启动程序。正在创建错误日志。”,点确定关闭后,很快又跳出几个来,同时电脑上安装的杀毒软件以及卡卡助手不能启动,任务管理器也打不开,很明显有映像劫持。不过在寻找备份文件过程中还发现了usp10.dll,只有7K多的大小(正常文件有300多K大),看来还有犇牛(也有叫猫癣)病毒,还发现输入法图标也不见了,更确定了这个输入法杀手。不管叫什么,usp10.dll不会单独存在,它是个下载器,会下载很多木马病毒到电脑上,果然很多。
作者:流风33 | 分类:病毒救援
2009年3月8日
NSIS ERROR错误的解决思路
人们在安装或打开一些程序的时候,会出现 NSIS Error 错误提示,这种情况很容易让人误会是系统出现了错误,或仅仅是该程序安装文件损坏的原因。 错误提示的中文意思如下:NSIS 错误 你正使用的安装程序已经被破坏或不完整。这可能是由于损坏的磁盘,或是下载失败,或是病毒导致的结果。你可以联系本安装程序的程序员来获取新的软件拷贝。
作者:流风33 | 分类:软件日志
2009年3月7日
锁定回收站的注册表项
因为有需要到网上寻找锁定回收站的方法,即让回收站不能清空,方法是修改注册表,可是发现大量网上转载的文章中列出的具体注册表项值都是错误的,或者可以说是漏抄了一段。不少网上文章说锁定回收站要修改注册表中的HKEY_CLASSES_ROOT\CLSID\\InProCServer32,注意前面红色部分,两个“\”中明显的漏一段,有的可能在抄的时候发现有问题,就干脆直接改成HKEY_CLASSES_ROOT\CLSID\InProCServer32。其实在HKEY_CLASSES_ROOT\CLSID\下的各个分项(一串用{}括起来的字串)中都有InProCServer32,关键是CLSID\下的哪个项是表示回收站。
作者:流风33 | 分类:软件日志
2009年3月6日
PnpWmkDrv.sys
[PnpWmkDrv / PnpWmkDrv][Running/System Start] <\??\C:\WINDOWS\system32\drivers\PnpWmkDrv.sys><N/A>PnpWmkDrv.sys是软件《完美卸载》的驱动。曾经被杀毒软件(卡巴斯基)误判为病毒,网上搜索也有认定其为病毒文件的,不过PnpWmkDrv.sys确实是完美卸载的文件
作者:流风33 | 分类:文件信息
2009年3月5日
CH341SER.SYS
[CH341SER / CH341SER][Stopped/Manual Start] <System32\Drivers\CH341SER.SYS><www.winchiphead.com>CH341 是一个USB 总线的转接芯片,通过USB总线提供异步串口、打印口、并口以及常用的2线和4 线等同步串行接口。CH341SER.SYS则是USB转串口CH341的WINDOWS驱动程序。
作者:流风33 | 分类:文件信息
2009年3月4日
清除mlkbajnh.dll、0306438f.dll等病毒
访问8888se网站遭遇木马病毒,杀毒软件、任务管理器均打不开,屏幕定时闪一下。检查SREng扫描的日志,发现该木马使用映像劫持技术劫持大量杀毒软件与安全工具,被劫持项的debugger的值为ntsd -d,使被劫持项无法正常运行。同时在HOSTS文件中屏蔽大量安全网站,如360、卡巴斯基、江民、瑞星、金山、NOD32等官网。
作者:流风33 | 分类:病毒救援
2009年3月1日
Adobe Acrobat PDF 0day漏洞
近日,Adobe公司旗下的Adobe Acrobat和Acrobat Reader 8.0和9.0版本软件爆出一个PDF 0day漏洞,利用该漏洞的恶意代码和详细的技术分析已经在互联网上被公开,并被广泛转载。通过被公开的技术资料,黑客能够轻易利用该漏洞传播各类恶意软件,黑客可以针对这个漏洞,构造了恶意的PDF文档,一旦网民打开这类文档,电脑将自动运行远程控制类木马,盗取用户网银密码,游戏帐号,私密文件、照片。
