ghost.pif新变种导致杀毒软件0xc00000ba失败的解决方法

所属分类: 实用技巧 / 应用技巧 阅读数: 1667
收藏 0 赞 0 分享
有网友咨询0xc00000ba错误的解决办法,特地从网上帮他找了一个,不知道能否解决问题

这个问题是由一个叫做ghost.pif的U盘病毒导致的

  不过最新变种的病毒会查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败。

  
Code:
SOFTWARE\\rising\\Rav
  SOFTWARE\\Kingsoft\\AntiVirus
  SOFTWARE\\JiangMin
  SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
  SOFTWARE\\KasperskyLab\\SetupFolders
  SOFTWARE\Network Associates\TVD\Shared Components\Framework
  SOFTWARE\Eset\Nod\CurrentVersion\Info
  SOFTWARE\\Symantec\\SharedUsage
  SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe



  因为这些安全软件运行时候会加载ws2_32.dll ws2_32.dll正确的位置是在system32下面 而软件通常寻找dll的方法是首先从自己的文件夹中寻找 那么病毒通过在这些软件的文件夹里创建一个伪造的ws2_32.dll从而导致软件启动时加载这个伪造的ws2_32.dll 导致启动失败!

  解决方法如下:

  1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 
  打开sreng 

  启动项目 注册表 删除如下项目
  <{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation]

  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

  右键点击 右键菜单中的打开 打开C盘
  删除

  
Code:
C:\Program Files\Internet Explorer\romdrivers.bak
  C:\Program Files\Internet Explorer\romdrivers.bkk
  C:\Program Files\Internet Explorer\romdrivers.dll



  2.清空C:\DOCUME~1\用户名\LOCALS~1\Temp下面所有内容

  3.右键点击 右键菜单中的打开 打开其他分区 删除autorun.inf和ghost.pif

  打开sreng 

  启动项目 注册表 删除如下项目
  
Code:
<wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe> [] 
  <ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe> [] 
  <mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> [] 
  <fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe> [] 
  <jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe> [] 
  <wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe> [] 
  <wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe> [] 
  <rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe> [] 
  <wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe> [] 
  <tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe> [] 
  <dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe> [] 
  <wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe> [] 
  <qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe> [] (有哪个删哪个)


  4.删除 瑞星杀毒软件 金山毒霸 江民杀毒软件 卡巴斯基杀毒软件 360安全卫士 等文件夹下名为ws2_32.dll的文件夹
更多精彩内容其他人还在看

如何设置一个严格30分钟过期的Session示例介绍

SESSION和COOKIE是每个面试官必问的知识点,下面为大家介绍下如何设置一个严格30分钟过期的Session,具体示例如下,感兴趣的朋友可以参考下哈,希望对大家有所帮助
收藏 0 赞 0 分享

禁用Cookie三种方法(保护你的隐私)

cookie的作用很多人都知道——cookie里面保存着我们所浏览过的网页的记录,为了安全起见下面为大家介绍禁用Cookie的三种方法,感兴趣的朋友可以参考下哈
收藏 0 赞 0 分享

URL中井号的作用介绍

URL中的井号(#)是比较常见的,下面就为大家介绍一些有关井号的故事,感兴趣的朋友可以了解下
收藏 0 赞 0 分享

访问Excel的几种方式介绍

本文将为大家介绍下访问Excel的几种方式:通过OLEDB方式、通过Microsoft.Office.Interop.Excel访问及其他相关等等,感兴趣的朋友可以参考下,希望对大家有所帮助
收藏 0 赞 0 分享

HttpClient抓取网页的两种方式

可以利用NodeFilter对网页进行分析及利用Visitor对网页进行分析实现抓取网页,具体如下感兴趣的朋友可以参考下,希望对大家有所帮助
收藏 0 赞 0 分享

EditPlus 3设置字体大小(附图)

EditPlus3是我们经常使用的编辑工具,至于如何设置字体大小的问题,有很多朋友在问,下面有个不错教程,大家可以感受下
收藏 0 赞 0 分享

GHOST删除分区和修复硬盘坏扇区不仅仅是备份还原

如果你只是用GHOST来备份和还原数据的话,那你可委屈了这款“功能强大”的软件了。其实GHOST还有一些比较另类的功能,接下来为大家介绍下GHOST删除分区和修复硬盘坏扇区
收藏 0 赞 0 分享

Cookie的使用之保存与获取代码示例

比较实用的设置Cookie和获取Cookie方法,下面的示例大家可以参考下,希望对大家有所帮助
收藏 0 赞 0 分享

sharepoint 2010版本图文安装教程

这篇文章主要为大家详细介绍了Microsoft Share Point2010中文版图文安装的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
收藏 0 赞 0 分享

Chrome开发者工具9个调试技巧详解

对于我们前端开发者来说,Chrome自带的开发者工具绝对是不可或缺的调试工具,我们常用的调试方法包含一些console等,而Chrome自带的开发者工具其实很强大,下面我们来聊聊一些你可能不知道的使用方法。
收藏 0 赞 0 分享
查看更多