[求助]进安全模式就蓝屏的问题
<p>能正常进入系统,但想进安全模式时,一按F8就蓝屏了,有人能解释一下这一般是什么原因吗?</p><p>要怎么做才能进安全模式呢?</p><p>求助,谢谢!</p> 你看下autorun.inf里面写了什么?里面应该就是写了运行的是什么程序,实际上这个程序就是病毒(带有这个autorun.inf的病毒是可以通过U盘传播的,当双击U盘就自动运行了)。在这个时候你应该不能使用注册表了(中毒了的原因),也就是你无法看到隐藏文件了。而autorun.inf和那个病毒都是隐藏文件。熊猫烧香也是通过这种方式传播的。用“自由资源管理器 ERD Explorer”就可以看到这些隐藏文件了。当然,这样也不是删除病毒的办法……我马上就要出差两天,一时间也不能够帮你想到好办法。希望你这两天内就搞好你的电脑啦,如果还未好的话两天后再和你一起讨论讨论! <br/><br/><br/><br/>似是“熊猫烧香”的变种“玉兔”。 <br/><br>听讲这个还能破坏“安全模式”、改系统日期,改了日期卡巴也当然不能用。如果不是“玉兔”其实也可以肯定是中毒了。 <br/><br>你进入系统后看能不能改正时间、看卡巴能不能运行,再用卡巴杀毒。 <br/><br/>系统还原前先看下其他分区根目录下有没有这个文件:autorun.inf(这个文件属性是系统和隐藏的),如果有,一定要删除,还要删除这个文件里面指向的程序,如open=sxs.exe、open=copy.exe……,可以肯定这些绝对是病毒!!!重装或者还原系统都是没有用的,当你双击打开这些分区这些病毒又开始自动运行感染你的新系统了。(我也忘了讲,系统还原好像不可以用了???)(另外,下面引用的“玉兔病毒——毁灭安全模式”作者有写错的地方:“发现右侧的ChekedValue键值为1,当然无法显示隐藏的病毒文件了,修改为0。之后便可以显示隐藏的病毒文件了”,正确的ChekedValue键值就是1不是0,为0就不能显示隐藏文件了。还要注意这个ChekedValue键值的类型是否DWORD,如果不是就删除再建一个ChekedValue键类型为DWORD值为1。不是很想引用别人的文章粘一大堆话的,而是我并未碰上过“玉兔”) <br/><br/><a href="http://news.itdigger.com/20061207/163147459.htm" target="_blank">http://news.itdigger.com/20061207/163147459.htm</a> 看下面这段话:( <br/>系统遭“幽灵”秘密入侵 安全模式不安全 <br/><br/>发掘网 (<a href="http://www.itdigger.com/" target="_blank">http://www.itdigger.com</a>) 精彩尽在发掘! <br/><br/>作者:佚名 2006年12月5日 13:41 掘自: <br/><br/>昨日,记者接到我市市民李先生的求助电话,“近几天,在上网的时候,不断有广告窗口弹出,于是我下载了某流氓软件专杀工具,但并没有彻底清除掉,而当我试图进入安全模式进行删除时,系统蓝屏,根本无法进入。” <br/><br/>根据李先生的描述,记者咨询了金山毒霸反病毒专家戴光剑。专家介绍,这是一个能删除系统安全模式的流氓软件——“幽灵”。该流氓软件主要通过驱动程序的HOOK隐藏自己,并大量下载广告和病毒程序,使用户的计算机受到更多广告程序的干扰。 <br/><br/>据悉,系统感染“幽灵”后,该流氓软件会把安全模式的注册表键值全部删除,使用户无法进入安全模式,即使用户强行进入了安全模式,也会导致系统蓝屏崩溃;同时,“幽灵”将开启一个IE进程,并使用Rootkit技术进行隐藏,同时读取某一网址上的内容,下载里面的广告程序及病毒文件,使用户的计算机受到广告程序及病毒的干扰,无法正常使用。 <br/><br/>伴随着对流氓软件剿杀力度的加强,一些流氓软件所采用的技术越来越高明,以“幽灵”为例,该流氓软件同时使用驱动级与用户级的Rootkit技术隐藏自身的信息,包括程序文件、进程等,使用户无法察觉病毒的存在。金山毒霸反病毒专家称,“从技术角度讲,反流氓软件的工作才刚刚开始。只有不断地进行技术的更新,才能有效抵御流氓软件的入侵。” ) <br/><br/><br/><a href="http://hi.baidu.com/ʳƷ¿Æѧ/blog/item/42f5f519005fa77bdab4bd8a.html" target="_blank">http://hi.baidu.com/%CA%B3%C6%B7%BF%C6%D1%A7/blog/item/42f5f519005fa77bdab4bd8a.html</a><br/><br/>玉兔病毒——毁灭安全模式!2007-05-09 13:10追捕毁灭安全模式的“玉兔” <br/>玉兔病毒档案 <br/><br/><br/>玉兔病毒会试图破坏安全模式,使用户无法进入该模式杀毒。玉兔病毒在每个盘符生成病毒文件和Autorun.inf文件,只要双击盘符就可以进行感染。玉兔病毒会结束安全软件及其他一些常用的安全辅助工具。玉兔病毒还修改注册表导致用户无法正常查看隐藏的系统文件,从而达到不被查杀的目的 <br/><br/>巧避锋芒清除病毒 <br/><br/>首先,要清除盘符里的病毒文件和Autorun.inf文件,以防止病毒继续扩散。因为病毒的原因,我们不能够正常进入注册表和使用冰刃检查系统。但是我们可以使用超级巡警绿色版本,因为病毒并不能关闭超级巡警。 <br/>进入“进程管理”选项,很快发现bryato.exe、severe.exe、loveRabbit.exe等3个可疑的病毒进程。其中bryato.exe是盗取QQ密码的木马,而另外两个是玉兔病毒的进程。这三个进程都插入了bryato.dll运行。 <br/>由于病毒进程具有关闭后马上重启动的特点,首先选中三个进程,然后右键单击三个进程选择“禁止进程创建”命令,接着右键单击三个进程选择“强制卸载标记模块”命令(图2),这样便暂时终止了这几个进程。 <br/><br/>进入“启动管理→注册表”选项,很快发现了bryato.exe和severe.exe的非法启动项目(图3),右键单击这两个启动项目选择“删除启动项”命令予以清除。 <br/><br/>揪出系统深处的病毒 <br/>此时,病毒还潜伏在系统深处,还需要我们进一步清理。进入“进程管理”,仔细分析一些系统进程,根据文件创建和其他信息马上发现了Winlogon.exe系统进程被插入了msexch400.dll这个病毒文件,记下文件位置,接着选中该文件后右键单击选择“强制卸载标记模块”命令(图4)终止病毒进程。 <br/><br/>在conime.exe进程发现被插入了bryato.dll,选中该文件后右键单击选择“强制卸载标记模块”命令终止病毒进程。接着重新启动计算机,删除记下的病毒文件。 <br/>e="FONT-SIZE: 10.5pt">再次重新启动计算机,此时已经可以进入注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子项,发现右侧的ChekedValue键值为1,当然无法显示隐藏的病毒文件了,修改为0。 <br/>之后便可以显示隐藏的病毒文件了,最后删除导致无法双击打开盘符的Autorun.inf文件以及相关的OSO.exe即可。<ca></ca> <p>用PE工具盘,导入以下注册表文件信息</p><p></p><div>Windows Registry Editor Version 5.00</div><div><br/>"AlternateShell"="cmd.exe"</div><div></div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver"</div><div><br/>@="FSFilter System Recovery"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Service"</div><div><br/>@="Universal Serial Bus controllers"</div><div><br/>@="CD-ROM Drive"</div><div><br/>@="DiskDrive"</div><div><br/>@="Standard floppy disk controller"</div><div><br/>@="Hdc"</div><div><br/>@="Keyboard"</div><div><br/>@="Mouse"</div><div><br/>@="PCMCIA Adapters"</div><div><br/>@="SCSIAdapter"</div><div><br/>@="System"</div><div><br/>@="Floppy disk drive"</div><div><br/>@="Volume"</div><div><br/>@="Human Interface Devices"</div><div></div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver"</div><div><br/>@="Service"</div><div><br/>@="FSFilter System Recovery"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver Group"</div><div><br/>@="Service"</div><div><br/>@="Driver Group"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Service"</div><div><br/>@="Driver"</div><div><br/>@="Driver"</div><div><br/>@="Service"</div><div><br/>@="Service"</div><div><br/>@="Universal Serial Bus controllers"</div><div><br/>@="CD-ROM Drive"</div><div><br/>@="DiskDrive"</div><div><br/>@="Standard floppy disk controller"</div><div><br/>@="Hdc"</div><div><br/>@="Keyboard"</div><div><br/>@="Mouse"</div><div><br/>@="Net"</div><div><br/>@="NetClient"</div><div><br/>@="NetService"</div><div><br/>@="NetTrans"</div><div><br/>@="PCMCIA Adapters"</div><div><br/>@="SCSIAdapter"</div><div><br/>@="System"</div><div><br/>@="Floppy disk drive"</div><div><br/>@="Volume"</div><div><br/>@="Human Interface Devices"</div> <p>浪子发的这个东东还真管用啊,我直接导入注册信息,重新启动后,就能进安全模式了.杀掉了不少病毒.</p><p>不过hosts文件每次重新启动都会被修改,无法正常访问网站,360安全卫士一运行就被自动删除了,而最新的瑞星已经杀不出更多的病毒了.</p><p>浪子能列举一下注册表里有哪几个地方包含了启动项吗?</p> <p>浪子,怎么用PE工具去导入呢? 进入DOS,能直接运行注册表文件吗?</p><p>同时谢谢2楼的阐述,我能看到隐藏文件,但是删除后过会又回来的.</p> 病毒有个特征就是映相劫持修改注册表,楼主发现这个原理,然后用矮人工具箱在纯DOS环境下先把病毒去属性(attrib -a -h,每个盘都要进行)然后用del 命令删除,之后进操作系统,对注册表操作 <p> 一、当前用户专有的启动文件夹</p><p> 这是许多应用软件自动启动的常用位置,Windows自动启动放入该文件夹的所有快捷方式。用户启动文件夹一般在:\Documents and Settings\<用户名字>\「开始」菜单\程序\启动,其中“<用户名字>”是当前登录的用户帐户名称。</p><p> 二、对所有用户有效的启动文件夹</p><p> 这是寻找自动启动程序的第二个重要位置,不管用户用什么身份登录系统,放入该文件夹的快捷方式总是自动启动——这是它与用户专有的启动文件夹的区别所在。该文件夹一般在:\Documents and Settings\All Users\「开始」菜单\程序\启动。</p><p> 三、Load注册键</p><p> 介绍该注册键的资料不多,实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。</p><p> 四、Userinit注册键</p><p> 位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe,如图一,但这个键允许指定用逗号分隔的多个程序,例如“userinit.exe,OSA.exe”(不含引号)。</p><p>图一</p><p> 五、Explorer\Run注册键</p><p> 和load、Userinit不同,Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有,具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run。</p><p> 六、RunServicesOnce注册键</p><p> RunServicesOnce注册键用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册键启动的程序。RunServicesOnce 注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServicesOnce。</p><p> 七、RunServices注册键</p><p> RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行,但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServices,和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunServices。</p><p> 八、RunOnce\Setup注册键</p><p> RunOnce\Setup指定了用户登录之后运行的程序,它的位置是:HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunOnce\Setup,和HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunOnce\Setup。</p><p> 九、RunOnce注册键</p><p> 安装程序通常用RunOnce键自动运行程序,它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序,运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP,你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnceEx。</p><p> 十、Run注册键</p><p> Run是自动运行程序最常用的注册键,位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。 HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行,但两者都在处理“启动”文件夹之前</p> <p>谢谢你们的耐心指导,有些注册键没找到,是系统的区别吧?我用的是2000server版.</p><p>杀毒真是门大学问啊.</p> <p>嗯。系统不一样,注册表项是不同的。</p><p>不过大致都是这样的。以上的注册表项是XP的</p> <p>是的,注册表虽然复杂,也就那么几项是常用的,用多了,最好自己自己上放个病毒做测试,用手工杀,这样就能认识DOS命令,和注册表知识,还有万一注册表被劫持了,那么你在cmd命令下输入 cd windows\system32\dllcache会车</p><p>接下来输入copy regedit.exe rrr.exe 会车,然后输入rrr.exe(这招防止注册表被劫持),呵呵,网上有很多病毒下载的,我也收集了很多,多去测试才能很好的掌握注册表知识</p>
页:
[1]
2