首页 网页制作网络编程脚本专栏数据库网站运营网络安全平面设计CMS教程

ghost.pif新变种导致杀毒软件0xc00000ba失败的解决方法

所属分类: 实用技巧 / 应用技巧 阅读数: 1616
收藏 0 赞 0 分享
有网友咨询0xc00000ba错误的解决办法,特地从网上帮他找了一个,不知道能否解决问题

这个问题是由一个叫做ghost.pif的U盘病毒导致的

  不过最新变种的病毒会查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败。

  
Code:
SOFTWARE\\rising\\Rav
  SOFTWARE\\Kingsoft\\AntiVirus
  SOFTWARE\\JiangMin
  SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
  SOFTWARE\\KasperskyLab\\SetupFolders
  SOFTWARE\Network Associates\TVD\Shared Components\Framework
  SOFTWARE\Eset\Nod\CurrentVersion\Info
  SOFTWARE\\Symantec\\SharedUsage
  SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe



  因为这些安全软件运行时候会加载ws2_32.dll ws2_32.dll正确的位置是在system32下面 而软件通常寻找dll的方法是首先从自己的文件夹中寻找 那么病毒通过在这些软件的文件夹里创建一个伪造的ws2_32.dll从而导致软件启动时加载这个伪造的ws2_32.dll 导致启动失败!

  解决方法如下:

  1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 
  打开sreng 

  启动项目 注册表 删除如下项目
  <{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation]

  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

  右键点击 右键菜单中的打开 打开C盘
  删除

  
Code:
C:\Program Files\Internet Explorer\romdrivers.bak
  C:\Program Files\Internet Explorer\romdrivers.bkk
  C:\Program Files\Internet Explorer\romdrivers.dll



  2.清空C:\DOCUME~1\用户名\LOCALS~1\Temp下面所有内容

  3.右键点击 右键菜单中的打开 打开其他分区 删除autorun.inf和ghost.pif

  打开sreng 

  启动项目 注册表 删除如下项目
  
Code:
<wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe> [] 
  <ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe> [] 
  <mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> [] 
  <fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe> [] 
  <jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe> [] 
  <wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe> [] 
  <wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe> [] 
  <rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe> [] 
  <wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe> [] 
  <tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe> [] 
  <dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe> [] 
  <wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe> [] 
  <qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe> [] (有哪个删哪个)


  4.删除 瑞星杀毒软件 金山毒霸 江民杀毒软件 卡巴斯基杀毒软件 360安全卫士 等文件夹下名为ws2_32.dll的文件夹
更多精彩内容其他人还在看

DEDECMS插入表时的出错

修改服务器mysql的sql-mode配置以解决DEDECMS插入表时的出错的BUG
收藏 0 赞 0 分享

Firefox浏览器狂占CPU解决办法

这两天 Firefox 突然变态,时不时的占用接近 50% CPU 资源,带来的现象是系统应用程序响应极慢。开始还以为是个别页面带来的问题,后来发现原来是普遍现象。这类问题开始不好求助于 Google ,说实话,不知道用啥作关键字搜索。
收藏 0 赞 0 分享

TMP、TEMP和TMP文件区别解析

总是发现很多tmp和temp等缓存文件,不懂为什么要那么多区别,看了下文,感觉不错
收藏 0 赞 0 分享

保存网页图片的八种方法小结

为了增加互动性和美观,现在的网页中都有许多精美的图片,这些都是网页制作者精心制作出来的,如果你想拿来为自己所用就必须把它们保存下来。另外,在一些电子书中也有精美的图片,为了防止有人复制,作者禁用了鼠标右键无法直接下载,针对以上情况,我们可以想办法来突破限制,从易到难可以顺次采用以
收藏 0 赞 0 分享

高手总结的电脑应用技巧第1/3页

声明:以下技巧都是一些电脑常用技巧,但也并不是每个人都很清楚,请只选择你感兴趣的内容选择性的观看。
收藏 0 赞 0 分享

不用任何软件修改mac地址的图文方法

一直都用的软件修改mac地址,没想到可以直接修改,学到一招
收藏 0 赞 0 分享

安装ppstream后出现的ppsap.exe进程解决办法

程文件:ppsap.exe 进程名称:ppsap.exe 描述: ppstream每次启动都会另开一个进程“网络加速器”(ppsap.exe), (1)每次开机都会自动运行, (2)退出ppstream之后会继续存在, (3)可手动在taskmanager
收藏 0 赞 0 分享

SIM卡的基本知识

一直用SIM卡不知道是怎么回事呢
收藏 0 赞 0 分享

删除XP中“自定义通知”的历史项目

XP中自定义通知很反感,告诉大家它的删除方法
收藏 0 赞 0 分享

更改IE浏览器的图标

注册表更改IE图标
收藏 0 赞 0 分享
查看更多

网络赚钱

更多

站长故事

更多
建站极客
合作伙伴
在线工具
建站极客移动版
聚合全网技术文章,根据你的阅读喜好进行个性推荐
© 2012 - 2020 zhanzhang360.cn Some Rights Reserved.
沪ICP备13040166号-22