自动登录 密码
登录 只需一步,快速开始
热搜:
查看:
回复:
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:07:49
刚才在网上找了几个常见病毒的手动删除方法
#2.winlogon.exe病毒的查杀方法
#3.简单的三个步骤专杀logo1_.exe病毒
#4.lsa .exe病毒
#5.恶意程序sm .exe的查杀
#6.sxs.exe病毒
#7.查杀病毒 oolsv.exe -f
#8.恶意程序taskmrg.exe
#9.rose病毒
#10.msime.exe winmer.exe分析及删除方法
#11.关于wincup.exe与aukld.exe的分析
相关帖子
•
•
•
•
•
•
•
•
•
•
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:08:09
winlogon.exe病毒的查杀方法 这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程 ,正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。 这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被***了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒 包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。 解决“落雪”病毒的方法 症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件 做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。 D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe 对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不
要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE 这个在进程里可以看得到,有两个,一个是真的,一个是假的。 真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM, 而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。 这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来! 知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉, 然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿 我也会用com文件,然后双击这个COM文件 然后行动可以进入到DOS下的命令提示符。 再打入以下的命令:
a oc .exe=exefile (a oc与.exe之间有空格)
ftype exefile=%1 %* 这样exe文件就可以运行了。 如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。 但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件1找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中 把Shell=Explorer.exe 1恢复为Shell=Explorer.exe
大功告成!大家分享一下吧!
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:08:42
简单的三个步骤专杀logo1_.exe病毒
作者:独孤秋依 结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参
考,我是参考了“网星”和其他网友的帖子综合的,不算我的原创哦,只能是帮助大家尽快清除这可恶的病毒
关于 Logo1_.exe
基本介绍
病毒名称
ed (中文:威金)
病毒别名 Virus.Win32.Delf.62976 [Ka ersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在wi t下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。
5、能绕过所有的还原软件。
详细技术信息: 病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为virDll.dll的文件。 %WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
auto = 1 盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡巴斯基,金山公司的毒霸。瑞星等
。98%的杀毒软件运行。 国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是
认出后不久就阵亡了。
通过写入文本信息改变%System%\drivers\etc\host quot; 文件。这就意味着,当受感染的计算机浏览许多站点时
(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦***,蠕虫将会感染受感染计算
机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源:
ADMIN$;
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件: \Program Files Common Files ComPlus A licatio Documents and Settings NetMeeting Outlook Expre Recycled ystem System Volume Information ystem32 windows Windows Media Player Windows NT WindowsUpdate wi t
蠕虫会从内存中删除下面列出的进程: EGHOST.EXE IPARMOR.EXE K***PFW.EXE KWatchUI.EXE MAILMON.EXE Ravmon.exe ZoneAlarm
遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以
通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟
内必定中招。中招后你*** rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill N*** 等杀
毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL
SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新
启动一次,病毒就会发作一次。 该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版
的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器
都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵,还原
卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒 PWSteal.Lemir.Gen 和 trojan. w.lineage 等等。都是些非常厉害的后门程序。和
外挂病毒相似,但是其威力是外挂病毒的50倍以上。在WIN98平台下,改病毒威害比较小。在WIN2000 /XP/2003
平台对于网吧系统是致命的
运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
auto = 1
删除auto键,默认的不要删除
二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\windows] load键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMa ing\system.ini\boot] winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx
两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
打开%system%\drivers\etc下的hosts文件.删除127.0.0.1 localhost一行后的所有内容.
下载Worm.Viking专杀工具在安全模式中进行
下载地址:
... 3119832d22607.shtml
如果没有以上键值,则直接跳过此步骤
三 结束进程
按“Ctrl+Alt+Del”键弹出任务管理器,找到logo1_.exe ,rundl1(是数字1,不是L)32.exe等进程,结束进程,可以借助绿鹰的进程管理软件处
理更方便。找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”
以结束掉(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把C:\wi t 目录下所有带毒文件删除。然后运行
杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清
楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重
要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。
如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC
/sca ow -- 提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。
郁闷吧。然后重新做系统吧。
杀毒及重装系统后的防范
最后可以Wi t中建一个logo1_.exe的文件夹,将其设置为只读且隐藏..这样.当它传播进就不能建立logo1_.exe文件了.也可以再建一个rundl132.exe的文件.并同样设置为只读加隐藏..
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:08:58
lsa .exe病毒
解决方法:
1.结束进程:调出windows务管理器(Ctrl+Alt+Del),发现通过简单的右击当前用户名的lsa .exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;鼠标右键点击任务栏,选择任务管理器。点击菜单查看(V)-选择列(S)...,在弹出的对话框中选择PID(进程标识符),并点击确定。找到映象名称为LSASS.exe,并且用户名不是SYSTEM的一项,记住其PID号.点击开始-》“运行”,输入CMD,点击确定打开命令行控制台。输入" tsd –c q -p (PID),比如我的计算机上就输入" tsd –c q -p 1064.
2.删除病毒文件:以下要删除的文件大多是隐藏文件所以要首先设置显示所有的隐藏文件、系统文件并显示文件扩展名;我的电脑--工具(T)--文件夹选项(O)...--查看--选择显示所有文件和文件夹,并把隐藏受保护的操作系统文件(推荐)前的勾去掉,这时会弹出一个警告,选择是.至此就显示了所有的隐藏文件了.
删除如下几个文件:
C:\Program Files\Common Files\INTEXPLORE.pif
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe
C:\WINDOWS\IO.SYS.BAK
C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的Autorun.inf和command.com文件.
3.删除注册表中的其他垃圾信息.这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的regedit.exe改名为regedit.com并运行,删除以下项目:
HKEY_CLASSES_ROOT\WindowFiles
HKEY_CURRENT_USER\Software\VB and VBA Program Settings
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
下面的 Check_A ociatio 项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下面的ToP项
将HKEY_CLASSES_ROOT\.exe的默认值修改为
exefile(原来是windowsfile)
将HKEY_CLASSES_ROOT\A licatio \iexplore.exe\shell\open\command
的默认值修改为
C:\Program Files\Internet Explorer\iexplore.exe %1
(原来是intexplore.com)
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-***-A2EA-08002B30309D}
\shell\OpenHomePage\Command 的默认值修改为
C:\Program Files\Internet Explorer\IEXPLORE.EXE(原来是INTEXPLORE.com)
将HKEY_CLASSES_ROOT \ftp\shell\open\command
和HKEY_CLASSES_ROOT\htmlfile\shell\ope ew\command
的默认值修改为C:\Program Files\Internet Explorer\iexplore.exe %1
(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
将HKEY_CLASSES_ROOT \htmlfile\shell\open\command
HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为
C:\Program Files\Internet Explorer\iexplore.exe –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet
的默认值修改为IEXPLORE.EXE.(原来是INTEXPLORE.pif)
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:09:23
恶意程序sm .exe的查杀
今天同事电脑中毒, 所有可执行文件不能打开, 上网查了一下资料:
浏览网页的时候(具体而言是某个绿色软件下载站,汗!!),看见“提示命令符”闪了一下,下意识的知道--中毒了!
打开进程管理器一看 多了个sm .exe,不过隶属于用户进程,不是系统进程。关闭它的时候提示“系统关键进程”,无法关闭!使用taskkill也无法关闭,于是下载金山毒霸***杀毒,没有查出来与之相关的病毒(不过其他的隐藏病毒倒是扫出来两个),最奇怪的金山毒霸的组件马上就开始运行错误-要求发送错误报告,这不能不让我想其以前碰到了一个木马,使杀毒软件和防火墙不能正常运行!
接下来使用金山的进程管理器查看到sm .exe关联的程序使c:\windows\sm .exe,不过正常的系统进程sm .exe是在c:\windows\system下的,到这个时候已经是凌晨2点多钟,于是挂上毒霸杀毒,自己便去睡觉!
第二天早上起来的时候,想到软件杀毒是不行的,只有手工杀毒!要杀毒第一件要做的事就是停止病毒进程,但windows自带的进程管理器和金山的管理都停止不了,于是上网搜索下载了一个荷兰学生编写的病毒木马的铺助工具HijackThis。使用这个工具才中止了sm .exe,不过单独删除掉c:\windows\sm .exe过会又有相同的进程出现在内存中--定是有什么程序,操作于之相关联,此时 想起了前些时候杀rose.exe的时候,要打开隐藏,系统文件的查看,这时才看到在d盘的底下有autorun.ini和一个msdos应用程序command。用记事本查看autorun.ini发现关联的是d:\command,这样就知道了只要我双击d盘,就会自动运行d:\command,如果d:\command这个小程序执行的就是一些病毒操作的话,即使我单独删除了c:\windows\sm .exe也无济于事,这时候就要考虑到这个病毒到底在进入我电脑的时候进行了哪些操作-这很重要,如果不清楚它于哪些文件“发生了关系”,就无法进行彻底的清楚工作!
很明显,这工作已不是我这样的菜鸟能够应付的,于是又要上网查看资料!
于是在一个网站找到如是资料:
1.灭掉进程sm .exe--◎用户◎
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\sm .exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Torjan Program=%Windows%\sm .exe
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
" hell=Explorer.exe 1
" hell=Explorer.exe
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,修改为“Explorer.exe”。
在进行过第二项操作后,exe关联出现了错误,每当开打exe执行文件的时候就会出现“执行操作关联”的对话框,因为我的系统里以前下载过一些系统优化的注册表文件,执行修复exe后还是不行。于是点开windows自带的搜索程序搜索regedit.exe,将c:\windows\ 底下的regedit.exe修改后缀regedit.com。(还有一个方法就 如果“文件夹选项”能打开的话,就在“关联里面”添加exe关联“应用程序”),接着就可以继续进行修复工作!
后记:一直认为自己的高手,上网的丰富经验可以让我将大多数病毒拒之门外,所有除了弹出窗口之外杀毒软件都没有装,本来只以为只中了这一个病毒,不想用杀毒软件却扫出了其他的病毒,想来惭愧!
不过这次的杀毒经历,让我成长了很多,也通过查阅大量的资料后了解了中毒之后所应该进行的深入操作!也让我知道杀毒软件也不能太过依赖!更值得一提的就是网页浏览器自身的漏洞,我使用的APPLE出品的Longator2005(因为电脑的配置很差,所有就只能用这样的低资源消耗的程序,我个人比较喜欢使用firefox,只可惜它的内存占用太大),它是使用的IE内核,最重要的就是这次的病毒(sm .exe)会修改IE的快捷方式,在IE的***目录下新建另一个类似IE名字的程序,想来也是即使病毒进程被软件中止也可以恢复的一种方式!
于是在此写下杀毒日记,希望能过帮助中毒而无能为力的人们!
注:!).最后还有点指出的是,windows的系统进程中也含有关键进程sm .exe,不过它们一般存在于c:\windows\system 或\system32目录下,恶意程序有时候会伪装称系统进程,这点也不奇怪!
还有这里的sm .exe感染,也可能是木马!(病毒和木马本应仔细区分,不过这里称病毒是对恶意程序的统称,如果用词还有什么不妥当的地方--敬请执教
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:09:37
Sxs.exe病毒处理方法
症状:隐藏文件失效。杀毒软件无法运行,被自动关闭。 原因:中了Sxs.exe病毒。 现象:在修复好后会发现在每个盘符的根目录下都有autorun.inf和sxs.exe文件 解决办法:首先要显示隐藏文件。
针对以上症状,我先上网找了相关的资料,首先,要显示隐藏文件
在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”--〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏,遇到这种情况,请在Windows XP***光盘中找到Hidden.reg,双击它,然后单击“确定”按钮,将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP***光盘找来找去都没有这个东西,假如你不幸遇到这种情况,可以尝试使用这种方法:找一部没有问题的电脑,把
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外,祝各位好运!假如某人能够在XP***光盘里找到这个东西,请把文件里面的内容复制到评论里面,并且注明该XP***光盘有没有打过SP1或者是SP2,谢谢!)
我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动,我把金山的换成江民的,还是没用,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉,我也找了网上的资料,不过我试了,没有用,找不到rous.exe,我提供给你们,自己去试一下看看!
你这是修改过的ROSE病毒
可以结束SXS的进程删除,记住,用鼠标右键进入硬盘
同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器
选择里面的“进程”标签
在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
一定要结束所有的“sxs.exe”进程
打开我的电脑 单击 工具菜单下的“文件夹选项”
单击“查看”标签 把“高级设置”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消
并选择下面的“显示所有文件和文件夹”选项
单击“确定”
用鼠标右键点C盘(不能双击!) 选择 “打开”
删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件
用鼠标右键点D盘 选择 “打开”
删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是,是个.exe 同样删了它)
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
单击开始 选择“运行” 输入 regedit(没有引号) ,回车
依次展开注册表编辑器左边的 我的电脑HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindow gt;CurrentVersio gt;Run
删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
关闭注册表编辑器
然后重新启动计算机
删除硬盘上是ROSE:
按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
打开我的电脑
这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)
删除 SXS.exe和autorun.inf文件 病毒就没有了
上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒
打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有些网友说删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
我找了一下没找到这个Run项目,但是我看了一下在Run里面有两个SoundMam,而且后面给的数值不一样,一个给的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了,肯定有问题,我看了一下,只有后面一个是正确的,前一个是豪杰超级解霸的“自动播放伺服器”的程序,看来病毒是加到这个里面了,借助自动播放到处传播!(这是我认为的,不知道对不对)于是就删除了这个项,退出注册表,打开杀毒软件,可以使用了,只是在一般杀毒时,还是找不到sxs.exe的,我用的是江民的,他有未知病毒扫描,在那里里面可以发现的,他是一种“硬盘蠕虫病毒”,删掉就行了,本来我是想截屏给大家看看的,可惜我重启了,没复制下来,哪位朋友补充一下在下面!感谢!
那还剩下autorun.inf,直接到各个硬盘删就可以了,再清空回收站就可以了,其他的都正常了,可能还有些网友系统可能出现些问题,如豪杰超级解霸的“自动播放伺服器”不能使用了,我的建议是:不要用了,就是他坏的事!要是你非要用就重新装吧!最后重新启动,可以了!
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:10:00
查杀病毒 oolsv.exe -f 最近突发诚心,想学学编程。好容易找到一个vb,delphi等速打熟练的软件,却要注册。想想随便搜个破解或者注册码得了,无奈垃圾站和垃圾软件太多。下载一个默认一***,什么yaho,BAIDU搜索,桌面背景天气一股脑被***上去。NND,我清。 按老思路,一般把启动项和新服务k掉就可以,结果 C:\windows\system32\ oolsv\ oolsv.exe -f 删了好几次怎么都会自动恢复。上网查一下,是个新东西,怪不得NORTON不杀呢。网上多是安全模式进去云云,xp下进一次安全模式慢的跟猪似的。想想有什么新鲜办法,仔细分析了下关联的那些程序:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugi \ ?
%System%\ oolsv\ oolsv.exe
%System%\ oolsv\ oolsv.exe,启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" oolsv=%System%\ oolsv\ oolsv.exe -printer 开机启动 一般来说一定是dll做鬼,icesword查了半天,没监到什么新鲜进程和东西。那就一个一个手工删除吧rd xxx目录 /s
或者rm /s /Q xxx目录都可以,当删到c:\windows\system32\msicn\msibm.dll 的时候,被禁止了,看来就是它。级别最高,当是老板。如果NTFS分区,给它分配下权限,guest组丢过去,重启一下应该就可以。可俺是FAT32,想一想硬盘里还有个宝贝降级/删除的东西CopyLock(宝贝啊,大家可以自己google)msibm.dll一删,默认重启动。接着把%sysroot%下的那些关联文件/目录一删除,msconfig里的启动项里 oolsv\ oolsv.exe -printer一停。
hoho,世界终于清净了~~~
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:10:16
微软的病毒警告,对服务器影响较大 微软公司安全小组这几天发现了一个新的蠕虫病毒,该病毒会对微软操作系统造成严重的影响,请仔细阅读以下信息并联系您的安全供应商,升级您的防病毒特征代码。如有问题您也可以直接联系微软全球技术支持中心安全小组获得技术支持。
目前研究结果
IRCBOT会造成如下症状:
管理共享丢失。
域控制器出现问题,管理员无法登陆域控制器。
域组策略丢失。
%SystemRoot%\taskmrg.exe是一个恶意程序。
该病毒会造成:
a. 系统管理共享被定时删除;
b. 组策略中策略被定时修改或清空;
c. 恶意程序已经被加密,多数防病毒软件无法检测
d. 通过系统漏洞和管理共享进行传播;
e. 该蠕虫刚感染时会试图连接以下外网地址:
202.12.27.33
http.fire-servers.net
128.9.0.107
192.33.4.12
128.8.10.90
192.203.230.10
http.***dis0rder.com
192.58.128.30
连通后,会采取一系列措施比如修改某些注册表项、启动后门、继续传播等。
该蠕虫利用的是已知的安全漏洞,该漏洞已经在微软发布的安全更新中修复。请将系统升级到最新的安全更新。
请您在外网边界防火墙上设置规则过滤以上地址的所有内外通信,这将会在很大程度上遏制该蠕虫病毒的传播。防火墙配置方法,请联系您的防火墙厂商。
f. 目前可以查杀该病毒的防病毒软件为Norton 10.0(必须是20日后最新特征库)和卡巴斯基Ka ersky
需要注意的是:
a. 不能完全确定病毒最早感染日期,即在***补丁之前,系统即可能已感染;
b. 在未完全***系统补丁之前,系统仍然可能再次被其他已感染主机再次感染;
c. 该病毒在网络内传播时,可能造成大量网络流量,造成网络速度减慢;
应对方法
a. 使用下面手工操作步骤对每台系统进行清除;
b. 使用Windows Update***系统所有安全补丁,并修改本地和域管理员口令;这是根本的预防方法,可以确保系统不被再次感染;
c. 再次检查系统感染情况;
服务名称:Task Manager或TskSheduler或其他,或数字型service name
病毒主程序名称:taskshed.exe或taskmrg.exe或其他;隐藏的系统文件,大小199KB
驱动名称:rofl.sys或remon.sys或其他;大小7KB-10KB
注意:由于该病毒会定期从IRC服务器(该服务器由病毒作者控制)更新攻击指令,因此上面特征可能发生变化。根据不同主机,请修改下面的注册表、文件修改项发送给客户。
单机清除步骤(如果可以,请在安全模式下操作):
打开注册表,备份注册表。
如果以下注册表存在,删除包括子项在内的整个项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Task Manager]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Task Manager]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rofl]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rofl]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
如果以下注册表值存在,从注册表中删除:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanma erver]
“Autoshareserver”
“Autosharewks”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation]
“Autoshareserver”
“Autosharewks”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanma erver]
“Autoshareserver”
“Autosharewks”
[HKEY_LOCAL_MACHINE\SYSTEMControlSet\Services001\lanmanworkstation]
“Autoshareserver”
“Autosharewks”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
“restrictanonymous”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
“restrictanonymous”
修改以下注册表值:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
“EnableDCOM” = Y
重启系统,显示隐藏文件和系统文件,删除C:\wi t\taskmrg.exe和C:\Wi t\System32\ rofl.sys;
注:由于蠕虫破坏了域组策略,需要重新配置组策略或者从备份里恢复。
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:11:15
关于rose病毒的初步分析报告
病毒特点分析:
1.启动方式多样:有注册表启动、盘符启动文件启动
2.破坏特点:使中毒计算机到规定时间之后不停的重新启动
3.产生文件类型多样:inf、ini、exe、com、reg五种之多
4.清理不当将导致:所有盘符无法双击打开。
病毒运行过程分析:
一、产生文件:
C:\WINDOWS\system32\run.reg
C:\WINDOWS\system32\systemdate.ini
C:\autorun.inf
C:\rose.exe
D:\autorun.inf
D:\rose.exe
D:\systemfile.com
E:\autorun.inf
E:\rose.exe
F:\autorun.inf
F:\rose.exe
G:\autorun.inf
G:\rose.exe
附注:autorun.inf、rose.exe将生成到你所有的硬盘分区中。ystemfile.com文件只存在D盘中。
二、启动项目
1.注册表启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Dll= c:\system32\rose.exe
2.盘符启动文件(autorun.inf)
[autorun]
Shellexecute=rose.exe
运行机理:
1.运行rose.exe将会生成
C:\WINDOWS\system32\run.reg
C:\autorun.inf
C:\rose.exe
D:\autorun.inf
D:\rose.exe
D:\systemfile.com
E:\autorun.inf
E:\rose.exe
F:\autorun.inf
F:\rose.exe
G:\autorun.inf
G:\rose.exe
2.双击所有盘符将会重新生成上述所有文件,不过当双击D盘时其中的systemfile.com文件会将在C:\WINDOWS\system32\下生成systemdate.ini
systemdate.ini文件的内容:
#2006-4-18 9:06:14#(当时日期是4月15日)
3.病毒发作模拟(以下思路仅作参考)
病毒可能会修改:
C:\ NTDETECT.COM文件破坏计算机启动过程导致计算机无法正常启动
产生重要时间文件:
systemdate.ini文件被病毒判断运行发作的日期。
计算机被无故重起原因:
如果systemdate.ini文件中的内容和日期符合就调用shutdown命令
附注:shutdown –s –t 0 –f (解释:-s重新启动、–t 0 设置时间0秒后就启动、-f强制运行的应用程序关闭而没有警告)
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:11:53
msime.exe winmer.exe分析及删除方法
档案编号:CISRT2006011
病毒名称:msime.exe:Trojan-PSW.Win32.Lmir.ate(***P)
winmer.exe:N/A(***P)
病毒别名:
病毒大小:20,361 字节 (msime.exe)
9,525 字节 (winmer.exe)
加壳方式:FSG
样本MD5:c915639c0723393318873341abfc3a5c (msime.exe)
0d30b166735c6c7a7acf3ad d716378 (winmer.exe)
发现时间:2006.4
更新时间:2006.6.4前
关联病毒:
传播方式:通过恶意网站传播,其它病毒下载
技术分析
==========
病毒运行后复制自身到:
%Windows%\update.exe
并创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
ScanRegistry=%Windows%\update.exe
尝试访问网络下载并运行木马程序:
http://www.6ydy.com/down/muma.exe
下载后保存为:
%Windows%\cq.exe
cq.exe尝试下载:
http://www.6ydy.com/1/host.txt
host.txt用于覆盖系统HOSTS文件,里面的重定向信息是:
127.0.0.1 localhost
218.85.132.38 www.bastong.com
218.85.132.38 cool889987.bigwww.com
127.0.0.1 www.3721see.com
218.85.132.38 ert0003.e76.163 .com
218.85.132.38 www.mir5173.com
218.85.132.38 www.se911.com
复制代码
尝试下载并运行:
http://www.6ydy.com/1/muma.exe
下载后保存为:
%System%\msime.exe
msime.exe创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
KernelFaultCheck=%System%\msime.exe
设置注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\MSkysoft]
下载并运行:
http://www.3721see.com/Run.exe
保存为:
%System%\winmer.exe
winmer.exe创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
KernelCheck=%System%\winmer.exe
设置关机脚本:
%System%\GroupPolicy\Machine\Scripts\scripts.ini
scripts.ini内容为:
[Shutdown]
0CmdLine=%System%\winmer.exe
0Parameters=***P
复制代码
创建配置文件:
%Windows%\vbarun.dll
设置注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]
病毒在第一次运行时会尝试结束一些安全相关软件的进程:
apvxdwin.exe
a istse.exe
avengine.exe
avp.exe
cca .exe
ccenter.exe
ccevtmgr.exe
ccsetmgr.exe
defwatch.exe
filmsg.exe
frogagent.exe
fygtcleaner.exe
iparmor.exe
isafe.exe
kav.exe
kavpfw.exe
kavstart.exe
kavsvc.exe
kmailmon.exe
kpfwsvc.exe
kregex.exe
kvmonxp.kxp
kvsrvxp.exe
kvxp.kxp
kwatch.exe
manti m.exe
mcshield.exe
mcvsescn.exe
mcdetect.exe
mcmnhdlr.exe
pavsrv51.exe
pccguide.exe
pcclient.exe
pcctlcom.exe imsvc.exe
pavprsrv.exe
pavprsrv.exe
ravmond.exe
ravmon.exe
rfwmain.exe
rfwsrv.exe
rtvscan.exe
srvload.exe
tmpfw.exe
tmproxy.exe
tmntsrv.exe
t rv.exe
trojanwall.exe
trojdie.kxp
vsmon.exe
we roxy.exe
xfilter.exe
zlclient.exe
删除安全软件的服务信息:
CAISafe
KPfwSvc
KVSrvXP
KWatchSvc
McTskshd.exe
McDetect.exe
P***FNSVR
PavPrSrv
PcCtlCom
pmshellsrv
PSIMSVC
RfwService
RsCCenter
Tmntsrv
tmproxy
关闭窗口:
Jiangmin Registry Monitor Ex
KVXP_Monitor
清除步骤
==========
1. 结束病毒进程:
%System%\msime.exe
%System%\winmer.exe
2. 删除病毒文件:
%Windows%\cq.exe
%Windows%\update.exe
%Windows%\vbarun.dll
%System%\msime.exe
%System%\winmer.exe
3. 删除启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
KernelFaultCheck=%System%\msime.exe
KernelCheck=%System%\winmer.exe
4. 删除关机脚本:
%System%\GroupPolicy\Machine\Scripts\scripts.ini
也可以从“开始”“运行”,输入“gpedit.msc”,打开“组策略”编辑器,依次到“计算机配置”“Windows 设置”“脚本(启动/关闭)”,双击右边框里“关机”,打开“关机属性”,删除里面的关机脚本。
5. 恢复被修改的HOSTS文件,删除被添加的信息:
218.85.132.38 www.bastong.com
218.85.132.38 cool889987.bigwww.com
127.0.0.1 www.3721see.com
218.85.132.38 ert0003.e76.163 .com
218.85.132.38 www.mir5173.com
218.85.132.38 www.se911.com
6. 删除其它注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\MSkysoft]
[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]
7. 修复或重新***被破坏的安全软件
当前离线
在线时间
2442 小时
游戏币
最后登录
2011-7-31
注册时间
2005-11-22
阅读权限
该用户已被删除
发表于 2006-10-13 00:12:06
关于wincup.exe与aukld.exe的分析
------------------------------------------------------
卡卡社区 mopery 前几天分析了C:\WINDOWS\wincup\wincup.exe ...这俩天又跑出个同名的文件夹..路径为C:\WINDOWS\Temp\wincup\wincup.exe和C:\WINDOWS\Temp\aukld\aukld.exe 前俩天卡巴就报了..瑞星好象昨天才报..病毒名:Trojan.DL.adload.io和Trojan.DL.adload.ip ...
这俩天关于此求助的人也多了..今天拿到样本就分析.. 运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务O23 - NT 服务: aucup - Unknown owner - C:\WINDOWS\Temp\wincup\wincup.exe ... 访问网络.. 运行aukld.exe ..释放文件i kld和~de5.tmp(文件中的数字会不同) ...创建服务O23 - NT 服务: aukld - Unknown owner - C:\WINDOWS\Temp\aukld\aukld.exe ..访问网络..
访问网络后..下载WinKalendar ...HijackThis的021项会体现出来..O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll ...此项可能出现也有可能不出现...
【解决】
结束进程
C:\WINDOWS\wincup\wincup.exe(可能会有我这一俩次测试都出现这项..)
开始-控制面板-添加与删除程序
卸载WinKalendar,winwrcup,vision communicate ....(有的会没有..)
开始-控制面板-管理工具-服务
禁用掉 aucup , aukld , WinWrCup ,JMediaService 这四个服务..(有的会没有..)
开始-运行-regedit
注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除aucup , aukld , JMediaService , WinWrCup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
删除LEGACY_AUKLD , LEGACY_AUCUP , LEGACY_JMEDIASERVICE , LEGACY_WINWRCUP这四个文件夹...(同上..仔细找找..必须使用Icesword来删除..)
HKEY_CLASSES_ROOT\CLSID\
删除{724C75F1-B757-408D-A50A-4CF99DA35D73} 这文件夹...(有可能没有这项..)
重启后删除..
C:\WINDOWS\Temp\wincup
C:\WINDOWS\Temp\aukld
C:\PROGRA~1\WinKld
C:\WINDOWS\Temp\i kld(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\Temp\i cup(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\wincup
------------------------------------------------------------------------
删除注册表的时候还是得借助 Icesword 来删除..
下载地址:
二楼)
------------------------------------------------------------------------
这俩文件访问网络时..如果防火墙阻止了不会生成C:\PROGRA~1\WinKld ..
------------------------------------------------------------------------
这俩个文件与C:\WINDOWS\wincup\wincup.exe 有关系..还有彩信助手...
建议在处理完后用超级兔子清理王安全模式卸载一下...
超级兔子下载地址:
-------------------------------------------------------------------------
再做个补充:C:\PROGRA~1\WinKld 是微软的日历..如果有需要的朋友不必卸载...
当前离线
在线时间
516 小时
游戏币
最后登录
2009-12-31
注册时间
2006-6-7
阅读权限
做个米虫
中级房客, 积分 2792, 距离下一级还需 208 积分
发表于 2006-10-13 13:01:44
长知识了
。。。。。。。。
挖咔咔...
当前离线
在线时间
1940 小时
游戏币
最后登录
2010-11-21
注册时间
2005-12-7
阅读权限
从此唏嘘~
后院财主, 积分 18271, 距离下一级还需 1729 积分
发表于 2006-10-13 13:11:04
好帖要顶!
700)this.width=700;" alt="" />
当前离线
在线时间
1365 小时
游戏币
最后登录
2011-8-5
注册时间
2005-3-13
阅读权限
高级民工
发表于 2006-10-13 13:47:17
最好有更新~~内容~
当前离线
在线时间
169 小时
游戏币
最后登录
2011-8-8
注册时间
2006-4-3
阅读权限
普通房客, 积分 731, 距离下一级还需 269 积分
发表于 2006-10-19 23:27:57
顶一下~~
当前离线
在线时间
21 小时
游戏币
最后登录
2008-5-19
注册时间
2006-7-11
阅读权限
入住后院, 积分 334, 距离下一级还需 166 积分
发表于 2006-10-19 23:37:54
好麻烦啊,有没有专杀啊?????????????????????
当前离线
在线时间
40 小时
游戏币
最后登录
2009-5-21
注册时间
2003-8-26
阅读权限
飘着的星星
发表于 2006-10-23 15:59:37
预防是关键,装个诺顿吧!
当前离线
在线时间
230 小时
游戏币
最后登录
2011-3-23
注册时间
2006-10-19
阅读权限
普通房客, 积分 871, 距离下一级还需 129 积分
发表于 2006-10-25 14:15:30
顶一下
当前离线
在线时间
48 小时
游戏币
最后登录
2008-6-21
注册时间
2006-10-23
阅读权限
入住后院, 积分 316, 距离下一级还需 184 积分
发表于 2006-10-25 18:33:51
不错。。好帖。。支持。。
当前离线
在线时间
230 小时
游戏币
最后登录
2011-3-23
注册时间
2006-10-19
阅读权限
普通房客, 积分 871, 距离下一级还需 129 积分
发表于 2006-10-28 12:35:33
顶一下
您需要登录后才可以回帖
发表回复
回帖后跳转到最后一页
) GMT+8, 2011-8-9 01:10
Powered by
2001-2011
积分 0, 距离下一级还需
回顶部弘扬黑客精神,研究最前沿的电脑技术,共享电脑盛宴!!!! |
| 查看文章 如何清除Trojan downloader-2
2009年07月02日 星期四
MSOCache文件夹是什么
问:我***了Office 2003以后,发现硬盘上多出一个叫做MSOCache的文件夹,有几百MB大,请问这个文件夹是做什么用的,能不能删除呢?
答:MSOCache里面存放的是Office 2003解包以后的临时文件,***完Office 2003以后可以删除这个文件夹。如果要求以后***时都不生成这个文件夹,可以打开***光盘里FILES\SETUP\SETUP.INI文件,把[Cache]那个小节下面的CDCAC
HE=AUTO修改为CDCACHE=0,保存,然后重新刻盘即可
启动Office组件会弹出***界面
问:我使用的是Office 2003,前几天不知道执行了什么操作,在打开Word或Office的其他组件时,总是出现Office开始***的界面,每次都需要点取消才能打开软件,但打开后,要打开的文件并未打开,还需要从软件的打开菜单中打开文件,请问这该如何解决?
答:请先插入Office***光盘,选择修复,然后修复你的Office,这样以后再打开Office组件时就不会出现***界面了。
修复系统导致Office无法使用
问:我使用的是WindowsXP系统,前段时间系统出了问题修复后,使用时Office就变得不正常了,启动时要求下载和***程序,并且提示要插入***光盘,如果选择取消就说无法使用该程序,应该怎么解决?
答:你遇到的是Windows I taller即需即装功能的一个问题,它有时候会被错误地激活。可以通过下面的步骤禁止该功能:在运行中输入 gpedit.msc,打开组策略程序,然后依次展开计算机配置→管理模板→Windows组件→Windows I taller→禁止 Windows I taller,在 禁止Windows I taller属性对话框上选择允许,再单击确定退出。以后 Windows I taller就不会在你启动Microsoft Office时自动激活了。另外,如果你使用的是Office 2000,可以打开注册表编辑器,找到HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Commo rdquo;目录,删除 UserData的值。这样当重新打开Microsoft Office程序时,程序将提示输入用户名称,但不会再自动运行 Windows I taller。
让系统启动时不检测软驱
问:我在Windows XP里***了Office XP后,每次启动系统时软驱都被检测。请问如何取消检测软驱?
答:***Office以后,如果不想启动后自动扫描软驱,可以将开始菜单中启动项目下面新增的与Office有关的项目去掉。另外,在文档中列出的最近使用的文件和Office最近使用过的文件有保存在A盘上的,也可能会导致这个问题,所以需要在任务栏属性里清除最近使用的文档列表,并删除 C:\Documents and Settings\Me\A lication Data\Microsoft\Office\Recent (假设当前用户名为Me,Windows XP***在C盘)文件夹中相关文件的链接。
有些文件为何无法删除
问:有一次我在共享文档里删除设置为共享的Office文件夹时,系统弹出一个提示框删除文件或文件夹出错──无法删除AW.DLL:访问被拒绝,请确定磁盘未满或未被写保护而且文件未被使用。类似上述问题在许多操作中经常遇见,因此,我想请问这种情况是什么原因造成的,该如何解决呢?
答:无法删除某些文件,除了文件被设置成只读或磁盘加有写保护之类显而易见的原因之外,可能的原因还有两种,一是某常驻后台程序正在使用该文件或者曾经使用该文件,解决方法是关闭该程序或者用任务管理器结束该进程;二是在文件的拷贝、运行等过程中出现磁盘错误,导致无法删除,解决的方法是进入安全模式或命令行模式(或进入 DOS),然后删除该文件即可。
Office 为何不显示最近使用的文件 问:我的电脑***的是 Office XP ,在用 Word 、 Excel 、 PowerPoint 这些程序时,菜单栏中的文件列表没有最近使用的文件,而我在工具 → 选项 → 常规里已选中列出最近文件数为 4 个,请问这该如何解决? 答:解决方法如下:在运行中输入 regedit 打开注册表编辑器,在 HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Policies\Explorer 分支下找到一个名为 NoRecentDocsMenu 的二进制值,将它删除或者将值改为 0 即可,重新启动后文件菜单中将恢复显示最近使用的文件。
如何用 Word 发送文件 问:我在 Windows XP 系统中***了 Office 2003 办公软件,在 Word 中设置好文章后,欲利用文件 / 发送 / 邮件收件人的功能发给朋友,在出现的邮件工具条上有许多按钮,但唯独找不到发送副本,因而无法发送文件,且软件修复或卸载后重装均不能解决。请问该如何解决? 答:缺少发送副本按钮,是因为没有在 Outlook 中配置电子邮件账户,所以 Word 不知道应该用什么账户通过何种邮件系统将文件发出。知道了导致问题的原因,解决起来就很容易了,运行 Outlook ,选择工具 → 电子邮件账户,在弹出的窗口中选择添加新电子邮件账户,然后按照提示一步步进行电子邮件账户的配置。邮件账户配置成功之后,发送副本按钮就会出现了。
为何没有类似 m3 的符号 问:我们可以在 Word 中通过选择插入 → 特殊符号,来插入 m2 ,但是我们常用的立方米符号却无法插入,请问有没有解决的办法?能否自己制作类似 m3 的立方米符号?如果用上标来实现,一拷贝到 Word 之外的地方就变成 m3 的形式了。 答: m2 是
Unicode 字符集中的 CJK 兼容字符这个字集中定义的一个符号,其中还包括 ㎎ 、 ㎏ 、 ㎜ 、 ㎝ 、 ㎞ 、 ㏄ 、 ㏎ 、
㏑ 、 ㏒ 、 ㏕ 等十个符号,确实没有 m3 。而且由于 Unicode 是已经成为标准的统一编码,因而也不允许自定义符号,所以很遗憾你的要求无法实现,需要使用 m3 时只能选择 DOC 或者 PDF 等支持上标的文档格式。
如何清除 Word 工具栏上的项目 问:最近***了一些软件,在 Word 的工具栏上多出了许多项目。当把最近***的软件都卸载掉后,那些工具栏上的项目仍然无法清除。请问如何清除其他工具软件添加到 Word 工具栏的项目?我用的是 Windows XP 系统。 答:工具软件一般是向 Word 的启动目录添加模板文件来实现在 Word 的工具栏中加入项目的目的,如果卸载程序制作得不完善,就会出现工具软件已经删除但 Word 工具栏中项目仍然存在的现象。这时可通过下面的方法手工将它们删除。打开 C:\Documents and Settings\
你的用户名 \A lication Data\Microsoft\Word\STARTUP 文件夹(具体盘符路径请根据系统的***位置自行确定),如果其中存在非用户自己添加的文件,则把它们全部删除。为了保证效果,也可以在 C:\Documents and Settings\ 你登录系统的用户名 \ 这个位置以 *.dot 为关键词进行查找,这样可找到一些隐藏在其他位置的加载模板文件,找到后先备份再删除。
如何快速合并多个 Word 文档 问:我有大量 Word 文档,想把它们合并到一个文档中,但是复制粘贴太慢了,有没有方法能快速合并? 答:首先将要合并的多个 Word 文档存放到同一个文件夹中,然后新建一个空白文档,在菜单中选择插入 → 文件,在弹出的插入文件窗口中选择上述文件夹,然后用鼠标拖动选择全部文件(或者使用 Ctrl+A 快捷键),最后单击插入按钮即可完成所有文档的合并。
中文引号怎么变成英文引号了 问:我用的是 Word 2000 ,我发现每次从 Word 2000 上复制内容粘贴到记事本、邮件、 QQ 对话框等地方时,中文引号()都会变成英文的引号( ),令人十分烦恼。怎样解决这个问题? 答:这是 Word 2000 的一个 Bug ,在 Word XP 中该问题已经得到解决,建议升级到 Word XP 。如果你无法升级到
Word XP ,可以将 Word 文档另存为文本文件,用记事本或写字板等其它程序来打开,然后复制上面的内容,中文引号就不会变成英文引号。
找回丢失的Word菜单
问:可能是由于误操作的原因,我的Word里面的一些菜单不见了,无论我怎样设置都不行,请问该如何找回丢失的菜单呢?
答:Word中的一切设置均存于默认的模板Normal.dot文件中,所以只要重建该文件即可。单击开始→查找→文件或文件夹,在弹出的对话框中输入Normal.dot,搜索范围设定在Office***文件所在分区,单击搜索按钮,搜索到此文件删除即可。当Word再启动时,就会重新建立该文件,并且应用默认参数,也就可以恢复被删除的菜单了
找回Word 2000的菜单栏
问:我使用的是Office 2000,前几天不知道执行了什么操作,Word 2000的菜单栏不见了,使用了一些简单的方法没有找回来,重新装了Office 2000也不行,请问我该怎么办?
答:点击开始→运行,输入regedit打开注册表编辑器,找到或新建HKEY_CURRENT_USER\Software\ Microsoft\Office\[Office Version]\Word\Data项,将Data名字更改为Olddata,然后保存退出。(编注:其中[Office Version]根据Office 版本的不同具体数值如下:Office 97为8.0;Office 2000为 9.0;Office XP为10.0)。完成设置后保存并退出注册表编辑器,重新打开你的Word即可发现菜单栏恢复原貌了。
Word工具栏丢失
问:我用的是Windows XP操作系统,今天发现Word 2002的菜单栏、工具栏莫名其妙全部丢失,只剩下一个编辑界面,按照以前的方法:删除normal.dot以后重新打开Word,但是还是无效,我该怎么办?
答:首先关闭全部Office应用程序,然后点击开始→查找,在搜索框里面输入Normal,搜索目标设置为C:,点击搜索按钮,把找到的以 Normal开头的文件删除,然后打开C:\Documents and Settings\你的用户名\ A lication Data\Microsoft\Word\STARTUP,删除里面的内容,然后打开C:\Program Files\ Microsoft Office\OFFICE10\STARTUP(假设Office ***在C盘),删除里面的内容,最后运行regedit,找到HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Word,把这个根键导出为REG文件备份起来,然后删除这个根键,关闭注册表编辑器,重新启动Word就可以了。如果只能看到菜单项而看不到工具栏,可以点击菜单里面的视图→工具栏,然后选择需要的工具栏即可。
启动Word时提示出错
问:我使用的是Windows XP系统,前段时间我***了Office 2000(***过程一切顺利),现在打开Word时总是提示隐含模块中的编译错误:AUTOEXEC,但Word也能正常启动,请问这是什么原因?
答:你的Word程序在编辑文档时,加载了一个自动运行的宏(AUTOEXEC),从而出现了这种情况。你可以这样来解决:在Word工具栏下打开模板和加载项栏,在里面会多出一项xxx.dot,这就是自动加载的宏,你只需要按照完整路径将它删除即可。
Word运行过程中自动关闭
问:我的电脑***的系统是Windows 98,在运行Word 2000时,隔几分钟就会弹出一个服务器忙的对话框,内容是:由于程序 Microsoft Word正忙,导致此项操作无法完成。请单击任务栏上的正确按钮以启动该程序,并解决问题。请问这是什么原因?
答:一般来说这是由于病毒引起的,使得Word应用程序受到了损坏。请先用最新的杀毒软件来查杀病毒,然后新建一个Word文档,选择帮助→检测和修复,根据屏幕提示,插入你的Office***光盘,几分钟后就会修复损坏的Word 程序。
整理从网上复制下来的资料
问:我经常下载一些资料,从网上直接复制下来粘贴到Word、记事本里的资料,粘贴后总是排列得七长八短的,如何才能将它们排列得整整齐齐呢?
答:建议你使用WPS2002或更高版本,将需要整理的文档复制、粘贴到WPS2002的一个空白文档中,执行工具→文字→删除段首空格,将不统一的段首空格全部清除;执行工具→文字→增加段首空格,为每一段添加统一的空格(默认为2个中文字符);执行工具→文字→删除空段,将空行全部删除;最后设置好字体、字型、字号,文档就整整齐齐地呈现在你的面前了。
关闭自动替换超链接功能
问:我在Word文档中键入一个E-mail地址时,Word自动将它转换为一个超链接,影响编辑效率。请问能否不让Word将E-mail地址自动转换为超链接?
答:你可以关闭Word中的自动将Internet及网络路径替换为超链接的功能:在工具菜单上点击自动更正选项命令,然后单击键入时自动套用格式选项,在键入时自动替换下,取消Internet及网络路径替换为超链接复选框即可。
在Word中插入Excel表格
问:我最近要写一个年度总结,想将一些Excel的表格内容复制成图片插在Word文档中,别人告诉我可以用PrintScreen键来抓取,但抓取的图片也要经过裁剪、缩放等处理,请问有没有更好的方法?
答:你可以选定需要复制成图片的单元格区域,按住Shift键单击编辑菜单,选择复制图片命令,弹出复制图片对话框,按系统默认设置(即将 外观和格式分别选定如屏幕所示和图片),单击确定按钮。这时就将选定的表格区域复制成图片了。若需要将它们粘贴出来,只需要按住 Shift键再单击编辑菜单,选择粘贴图片命令即可(或不按Shift键,直接从编辑菜单中选择选择性粘贴命令,以图片方式粘贴),另外你还可以将它粘贴到其他软件中去。
Word中的奇怪现象
问:我最近在使用Word时,发现出了一个小问题,每当在文章中输入C后,出现的不是C而是外加圆圈的小C,不知这是什么原因,怎样才能恢复正常?
答:这是因为Word的自动替换功能导致的,可以通过设置取消其自动转换,方法如下:点击Word窗口中的工具→自动更正选项,在打开的窗口中选择自动更正标签,然后选择(C)项,再单击删除即可。
批量改变Word中的字体
问:我用Word写了一篇文章,再次修改时需要将文章中的一些在引号内的文字全部更换为大的黑体字,一个个修改感觉很麻烦,请问有什么方法可以一次性修改?
答:打开文件,将文章全部选中,点击编辑→替换命令,打开替换与查找对话框,点击下面的高级按钮,再选中使用通配符选项;在查找内容中输入*,点击替换为,接着选择下面的格式,并选择字体选项,在弹出的查找字体对话框中将字体设置为黑体然后确定;最后选择 全部替换,这样就可以一次性地将文章中在引号内的文字全部更换为黑体字。
去掉Word页眉中的直线
问:最近在用Office XP编辑文档时,我在Word中插入了页眉,发现插入后里面还有一条直线,请问这条直线可以去掉吗?
答:可以去掉。点击视图→页眉和页脚,然后点击页面设置按钮,选择版式,点击边框按钮,选择边框,点击无,然后在应用到下面选择段落,最后点击确定即可。
Word中不能显示公式
问:在Word 2003中编辑好的公式无法显示,只显示为一个方框,该怎么办?
答:Word把使用公式编辑器输入的公式作为图形处理,编辑好的公式显示为一个方框是因为误开启了图片框功能,该功能使Word显示一个空白框来代替文档中的每个图形。关闭图片框功能的方法是:点击工具→选项,单击视图选项卡,在显示标题下,清除图片框复选框,单击确定按钮。怎么样,你想见的公式呈现眼前了吧
怎样保证幻灯片字体不变 问:我使用 PowerPoint 2003 制作了一个幻灯片,其中使用了一些从网上下载的漂亮字体,但是在我的电脑中播放的秀丽文字在别人的电脑中播放时却成了死板的宋体,请问有没有办法让幻灯片的字体不变? 答:你的要求很容易实现,只要将 PPT 文件中用到的漂亮字体嵌入到文件中,就可以在任何一台电脑上都不会改变字体了,具体方法是:首先打开编辑好的幻灯片文件,然后单击文件 → 另存为,在弹出的窗口中选择工具下拉菜单中的保存选项,选中嵌入 TrueType 字体,并根据需要选择下面的只嵌入所用字符(适用于减少文件大小)或者嵌入所有字符(适宜其他人编辑)两项,确定后点击保存即可生成自带新字体的幻灯片文件。
提取 PPT 中的图片 问:朋友发给我一些 PowerPoint 幻灯片,里面有很多精美的图片,我很想把里面的图片提取出来,不知道有什么办法可以做到? 答:你可以在 PowerPoint 中打开要提取图片的幻灯片文件,然后点击文件 → 另存为网页,这样在生成的文件夹中就可以找到幻灯片里所使用的图片。
打不开PowerPoint文件
问:我用PowerPoint制作幻灯片时,突然系统自动退出,按照提示保存了文档后,再次启动却给出没有找到注册的转换器,PowerPoint不能打开该文件提示,请问这是为什么,如何才能解决?
答:出现这个问题,有可能是由于你的系统虚拟内存过小而导致的错误,请适当调整。要恢复这个文档首先需要找到Office***光盘,运行***程序选择 转换器后重新***,接着打开临时文件夹,找到与出错文件名相同的临时文件(以TMP为扩展名),也可以通过系统搜索功能获取,将其扩展名TMP改为 PPT后再打开。这样,你所制作的幻灯片就能正常显示了。
对象动画效果无法演示
问:我***了WPS 2003教育版,但是发现用PowerPoint 2000制作的幻灯片,改用金山演示2003播放时,在设置演示页中对象的动画效果时,单击主菜单演示播放,看到的对象动画是灰色,处于禁用状态,请问这该怎么办?
答:在使用金山演示2003时,单击文本框后,对象动画不能用,是因为没有选中对象。选中文本框的操作方法是:单击文本框时,鼠标左键按住约2 秒后释放(注意选中文本框后,文本框内无插入点)。正确选中文本框后,单击主菜单演示播放,对象动画即可使用。
减小PowerPoint文档体积
问:我经常用PowerPoint制作一些课件,有时候因为制作的幻灯片里面有很多图片,这样制作出来的文件很大,携带拷贝很不方便,有没有什么方法可以减小制作出来的文件体积?
答:首先打开这个幻灯片文件,如果图片工具栏还没有打开的话,可以点击菜单上的视图→工具栏→图片来打开图片工具栏,打开图片工具栏后,点击上面的 压缩图片按钮,会弹出一个压缩图片的对话框,在应用中选择文档中的所有图片,接着保存一下文件,这样文件体积会小很多。
能否保护幻灯片不被修改
问:请问在PowerPoint里可不可以像Excel中保护工作表那样,把幻灯片保护起来,使别人无法修改呢?
答:可以,以Office XP为例,只要在保存时选择工具下拉列表中的安全选项,然后在修改权限密码处设置密码即可,不知道密码的用户则无法修改。在其他版本Office中的操作与此类似。
如何在PPT中演示立体图形
问:我通过PowerPoint 2000设计幻灯片,我想在演示的时候通过鼠标的点击来使一个立体图形达到翻转的目的,从而能看到它的不同侧面,但发现PowerPoint 2000中的自由旋转按钮变成灰色,请问我该怎么办?
答:PowerPoint的自由旋转并不能达到你所希望的三维旋转,也不能对插入的对象起作用。要解决你的问题必须使用PowerPlugs:Tra itio 插件(::URL::http://www.crystalgraphics.com/presentatio /tra itio .main.a ),使用它可以方便地为你的演示文稿加入更多的3D效果,它包括12种风格超过70种3D效果,例如旋转的方块等。
在PowerPoint中显示辅助线
问:我听说在PowerPoint中可以用辅助线来对齐对象,请问如何显示并使用辅助线呢?
答:辅助线是水平和垂直的线,专门用于在视觉上对齐对象。你可以添加、删除和移动辅助线。如果辅助线尚未显示,单击视图菜单上的辅助线就可以显示它。利用辅助线将对象对齐的步骤如下:①拖动辅助线,将它定位在要对齐对象的位置。②靠近辅助线拖动每一个对象,这样对象的中心或边缘会自动对齐辅助线。
在 Outlook 2000 中查看 Hotmail 邮件 问:我经常使用 Hotmail 来收发邮件,虽然 Outlook Expre 支持访问 Hotmail 电子邮件账户,但是我想使用Outlook 2000 访问 Hotmail 电子邮件账户,怎么设置才能实现我想要的功能? 答:虽然 Outlook 2000 不支持对 Hotmail 电子邮件账户进行集成,但是可以在 Outlook 中查看 Hotmail 电子邮件,方法是创建一个 Hotmail 文件夹,然后关联该文件夹指向 Hotmail Web 站点的 Web 视图。 ① 在视图菜单上,单击文件夹列表以打开文件夹列表。 ② 右击 Outlook 今日,然后单击新建文件夹。将该文件夹命名为 Hotmail ,然后单击确定。现在,你的文件夹列表应该包含一个 Hotmail 邮件项目文件夹。 ③ 在文件夹列表中,右击 Hotmail 文件夹,然后单击属性。 ④ 在主页选项卡上的地址框中键入 ::URL::http://www.hotmail.com
。 ⑤ 单击以选择显示该文件夹的默认主页,然后单击确定。现在,当你在文件夹列表中单击 Hotmail 文件夹时,将看到用来登录到你的账户的选项。你可以通过将 Hotmail 文件夹拖到 Outlook 栏来向 Outlook 栏中添加 Hotmail 文件夹快捷方式。
阅读信件时禁止打开网页
问:我在使用OE读取一些邮件时,经常会自动调出IE并打开一些广告网页,请问有没有方法可以在观看信件的情况下不让它们自动打开?
答:自动打开网页是JavaScript在起作用,在OE中选择工具→选项→安全,把安全区域设置为受限制的站点区域;然后打开IE的 Internet选项,在安全选项卡中选中限制站点,按自定义级别按钮,在打开的窗口中将所有脚本选项设置为禁用就可以了
备份Outlook的联系人地址
问:我把手机联系人地址传到Microsoft Office Outlook 2003联系人里,完成后备份整个Microsoft Office文件夹,格式化C盘,重装系统及Office 2003,再把Outlook 2003恢复,但打开联系人时发现原联系人不见了。请问 Outlook 2003的联系人地址存在哪里?
答:默认条件下,联系人地址默认存放在C:\Documents and Settings\username\Local Settings\A lication Data\Microsoft\Outlook下,建议备份时可以备份此文件夹下的内容。
地址簿中的地址不见了
问:我一直使用Outlook Expre ,朋友和同事的通讯地址都存在地址簿中。由于操作不慎,计算机出现蓝屏故障,当重新启动后,发现OE里的地址簿是空白的,请问如何才能找回丢失的地址呢?
答:打开查找文件对话框,搜索.wab文件,在搜索到的文件列表里找到ll.wa rdquo;和lbg.wa rdquo;这两个文件,其中ll.wa rdquo;就是包含地址的通讯簿了,把ll.wa rdquo;拷贝到lbg.wa rdquo;所在的文件夹,然后,把lbg.wab重新命名为lbg1.wab,再把ll.wab重命名为lbg.wab即可。
打开OE中的附件
问:我使用Windows Update给电脑打了补丁包,但没想到Outlook Expre 6升到6.1后,接收的邮件里如果有附件,附件一律是灰色的,无法打开。对此我该怎么办?
答:打开Outlook Expre ,选择工具→选项,选择安全,清除不允许保存或打开可能带有病毒的附件前面的复选,点击确定即可。
OE缘何不能正常使用
问:我***了Windows XP系统,装好后其他都很正常,但Outlook Expre 却不能启动。上网也正常。 IE是6.0的,启动 Outlook Expre 出现提示:无法启动Outlook Expre ,Outlook Expre 需要 Outlook Expre 4.01或更高版本。我重装Office XP也没用,重装IE却不能重装。请问该如何解决呢?
答:从错误现象来看,是Outlook Expre 没有正确***所致,与Office XP无关。可以使用控制面板下的添加或删除程序中的添加/删除Windows组件选项来卸载并重新***Outlook Expre 。
打开Acce 文件出现安全警告
问:我在Windows XP下面***了Office 2003,可是在双击Acce 文件打开的时候会出现安全警告提示,要选择是和打开才能够正常打开这些文档。但是,如果先启动Acce 程序,再从文件菜单下用打开命令选择文件打开,则不会出现上述提示,请问这是怎么回事?
答:这是Office关于不安全表达式的安全警告,对普通用户而言,可以将它关闭,这样就不会遇到类似的提示问题了。操作方法如下:启动Acce ,在 工具菜单上指向宏,然后单击安全性,单击安全级选项卡,然后单击低……,单击确定按钮,重新启动Acce 即可。
Excel文档无法另存
问:我用的是Windows 98系统,前几天当我打开一个Excel文件后,想把它另存为一个文件,系统提示说文件已存为某某临时文件,请按确定,确定后,Excel就被关闭了,这是什么原因?
答:你可以删除保存的临时文件,然后再进行另存。首先到系统分区中的\Windows\tem rdquo;文件夹中删除所有临时文件,然后再到该Excel文件的保存位置清除扩展名为TMP的文件(这些文件一般是隐藏的,需要在工具→文件夹选项→查看中设置显示所有文件)。临时文件清除完后,重新打开 Excel文件,就可以选择另存了。
在 Excel 中快速拷贝数据 问:由于业务需要,我必须将一张 Excel 工作表中的某列数据拷贝到另一张表的某行数据,请问如何将行转换为列?我以前是用手工拖动的方法来实现的,比较麻烦,有没有简单的办法? 答:选中该行数据并复制,在打开的空白文档中使用编辑菜单下的选择性粘贴命令,选择无格式文本进行粘贴,打开查找和替换对话框,在查找内容中输入 ^t ,在替换中输入 ^p ,然后点击全部替换,再将全部数据粘贴回 Excel 即可。
如何在 Excel 中快速输入时间 问:由于工作需要,我需要在 Excel 中输入大量相同的时间格式,如 15:15 表示 15 分 15 秒,我想问的是,有没有方法可以设定单元格格式,使得我输入 1515 时 Excel 可以自动改为 15:15 显示,并且可对输入的时间进行数学运算(如求平均值等)? 答:单独用 Excel 完成这项工作比较困难,但是只要在 Excel 和 Word 之间复制、粘贴两次,就可以轻松实现:首先在 Excel 中按照 1515 的格式输入所需数据;完成后选中所有输完的数据,然后在选区上单击右键并选择设置单元格格式,在弹出的单元格格式窗口中选择 数字标签,在分类列表中选择自定义,然后在右侧类型下方输入 ##:## (不含外侧双引号,注意冒号及它两侧的双引号均为英文标点),然后就会看到上方示例已经显示为 15:15 了,但是此时数据格式并不是时间,如果进行平均值等数学运算会得出错误的结果;所以需要新建一个 Word 文档,再次选中 Excel 中的全部数据并把数据复制、粘贴进 Word 文档,生成 Word 表格;最后,只要选择上述
Word 表格并再次复制到新建的 Excel 工作表中,你就会发现所有的数据都以 XX∶XX 的形式显示出来,并且单元格格式已经自动设定为 时间 h:mm ,这样即可进行所需的数学运算。
xmtech 发表于 2006-9-7 19:30:22 保存该日志到本地 [全文] [评论] [引用] [推荐] [档案] [推给好友] [收藏到网摘]
2006-9-7
如何清除word杀手病毒!
1.先杀毒
2.修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\HideFileExt]
CheckedValue = dword:00000001
UncheckedValue = dword:00000001
3.修改注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced
\Folder\HideFileExt]
CheckedValue = dword:00000001
UncheckedValue = dword:00000000
4.在C盘查找c:\windows\wj\目录,看看有没有同名的*.com文件,改名为.doc
5.版本不同可能症状不同.
xmtech 发表于 2006-9-7 19:27:00 保存该日志到本地 [全文] [评论] [引用] [推荐] [档案] [推给好友] [收藏到网摘]
2006-9-7
Logo1_.exe病毒预防
Logo1_.exe病毒预防
Logo1_.exe病毒预防
最近单位局域网电脑大部分中了logo1_.exe病毒,用瑞星查杀,居然没有病毒,一气之下,改装 Macfee,结合我在实际中清除病毒的经验特总结一下,给中此病毒的网友以参考,我是参考了网星和其他网友的帖子综合的,不算我的原创,只能是帮助大家尽快清除这可恶的病毒:
该病毒在单位局域网横行,我们有的电脑只好删除所有的EXE文件,甚至格式化硬盘。
将瑞星升级到最新版,居然不认识W32/HLLP.Philis.g病毒!
请瑞星予以重视,采取确实有效有解决方案。
关于 Logo1_.exe
基本介绍
病毒名称
病毒别名 Virus.Win32.Delf.62976 [Ka ersky], W32/HLLP.Philis.j [McAfee],W32.Looked [symantec] Net-Worm.Win32.Zorin.a
病毒型态 Worm (网络蠕虫)
病毒发现日期 2004/12/20
影响平台 Windows 95/98/ME , Windows NT/2000/XP/2003
风险评估
散播程度:中
破坏程度:中
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在wi t下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
4、网吧中只感梁win2k pro版,server版及XP系统都不感染。
5、能绕过所有的还原软件。
详细技术信息:
病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为 %WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]盗取密码
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
阻止以下杀毒软件的运行
病毒试图终止包含下列进程的运行,这些多为杀毒软件的进程。 包括卡八斯基,金山公司的毒霸。瑞星等。98%的杀毒软件运行。
国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。
通过写入文本信息改变病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦***,蠕虫将会感染受感染计算机中的.exe文件。
该蠕虫是一个大小为82K的Windows PE可执行文件。
通过本地网络传播
该蠕虫会将自己复制到下面网络资源:
ADMIN$
蠕虫会感染所有.exe的文件。但是,它不会感染路径中包含下列字符串的文件:
\Program Files
Common Files
ComPlus A licatio documents and Settings
NetMeeting
Outlook Expre Recycled
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
蠕虫会从内存中删除下面列出的进程:
EGHOST.EXE
IPARMOR.EXE
K***PFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你*** rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill N*** 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的
SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以. exe 的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。
该病毒对于防范意识较弱,还原软件未能及时装到位的网吧十分致命,其网络传播速度十分快捷有效。旧版的杀毒软件无法检测,新版的无法彻底根杀。一但网吧内某台机器中了此病毒,那么该网吧所有未中毒的机器都处于危险状态。由于病毒发作贮留于内存。且通过EXPLORE.exe 进行传播。因此即使是装了还原精灵,还原卡的机器也同样会被感染。你重新启动后系统可以还原。但是你一但开机还是会被感染。
病毒发作会生成另外病毒
PWSteal.Lemir.Gen 和 trojan. w.lineage 等等。都是些非常厉害的后门程序。和外挂病毒相似,但是其威力是外挂病毒的50倍以上。在WIN98平台下,改病毒威害比较小。在WIN2000 /XP/2003 平台对于网吧系统是致命的
运行系统极度卡机。你重新启动后你会发现你所有游戏的.EXE 程序全部都感染了
最新杀毒软件杀完后。除了系统可以勉强运行。其他的你也别想运行了。
病毒清理办法
如果在病毒没有发作情况下杀毒是可以完全搞定的。如果发作了也不要杀毒了。直接克盘恢复吧。
一、找到注册表中[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]删除DownloadWWW主键
二、找到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMa ing\system.ini\boot]
winlogo 项
把WINLOGO 项 后面的C:\WINNT\SWS32.DLL 删掉
接下来把HKEY_LOCAL_MACHINE]SOFTWARE/Microsoft/Windows/CurrentVersion/Run 键中 /RunOnce/RunOnceEx 两个中其中有个是也是
C:\WINNT\SWS32.dll
把类似以上的全部删掉 注意不要删除默认的键值(删了的话后果自负)
如果没有以上键值,则直接跳过此步骤
三 结束进程
按Ctrl +Alt+Del键弹出任务管理器,找到logo1_.exe 等进程,结束进程,可以借助绿鹰的进程管理软件处理更方便。找到 EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击结束进程以结束掉(如果EXPL0RER.EXE进程再次运行起来需要重做这一步)。
四 装杀毒软件
装完后不要重新启动(切记)直接升级病毒库,升级完后,把C:\wi t 目录下所有带毒文件删除。然后运行杀毒软件开始杀毒。
杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。,重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。一般要重复杀毒3-5次才能杀干净。
五。看看杀毒后的系统。
缺少的了很多系统文件。系统处于危险状态。如果你有GHOST 备份。这个时候恢复一下。系统可以干净无损。如果没有请运行 SFC 命令检查文件系统。具体操作为 运行-输入CMD 命令进入DOS 提示符。-输入SFC /sca ow -- 提示放入系统光盘。--放进去吧。然后慢慢等。
看看成果。杀毒效果显著。毒杀干净了。但是杀完毒后很多游戏都玩不了。忙了一圈都不知道自己在忙什么。郁闷吧。然后重新做系统吧。谁叫中毒的是网吧的系统
杀毒及重装系统后的防范
有些网友在处理病毒的时候可能有这样的感觉好不容易清除了,或者没办法重新装了系统,但是没多长时间有中了同样的病毒,所以说有免疫程序实最好的了。下面就将免疫程序公布如下,供网友们下载使用:
建议做系统的时候把默认共享关闭。关闭IPC$ ADMIN$ 关闭554 关闭ICMP路由。给ADMINISTRATOR 组所有成员设置密码。最好数字加英文
现在地址可以到本站的软件下载中去找找,你可以直接通过下面的网址下载:
文件说明下载解压后有3个文件
dellogo.bat放在wi t目录下,98的用户放到windows目录下
delshare.bat放到开始菜单--程序---启动项中,目的能让计算机启动后就删除默认共享,从而阻止病毒对外传播和再次感染的桥梁。
ljl.reg下载后直接运行这个文件,提示,信息导入注册表后,说明写入注册表成功,目的是让计算机重新启动后能立刻删除病毒主题文件
logo1_.exe文件。要注意的实这个注册表导入文件是针对win2000系统的,如果您是其他的操作系统,请参考修改一下就可以。
以上操