ghost.pif新变种导致杀毒软件0xc00000ba失败的解决方法

有网友咨询0xc00000ba错误的解决办法,特地从网上帮他找了一个,不知道能否解决问题

这个问题是由一个叫做ghost.pif的U盘病毒导致的

  不过最新变种的病毒会查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败。

  
Code:
SOFTWARE\\rising\\Rav
  SOFTWARE\\Kingsoft\\AntiVirus
  SOFTWARE\\JiangMin
  SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
  SOFTWARE\\KasperskyLab\\SetupFolders
  SOFTWARE\Network Associates\TVD\Shared Components\Framework
  SOFTWARE\Eset\Nod\CurrentVersion\Info
  SOFTWARE\\Symantec\\SharedUsage
  SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe

  因为这些安全软件运行时候会加载ws2_32.dll ws2_32.dll正确的位置是在system32下面 而软件通常寻找dll的方法是首先从自己的文件夹中寻找 那么病毒通过在这些软件的文件夹里创建一个伪造的ws2_32.dll从而导致软件启动时加载这个伪造的ws2_32.dll 导致启动失败!

  解决方法如下:

  1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统) 
  打开sreng

  启动项目 注册表 删除如下项目
  <{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation]

  双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定

  右键点击 右键菜单中的打开 打开C盘
  删除

  
Code:
C:\Program Files\Internet Explorer\romdrivers.bak
  C:\Program Files\Internet Explorer\romdrivers.bkk
  C:\Program Files\Internet Explorer\romdrivers.dll

  2.清空C:\DOCUME~1\用户名\LOCALS~1\Temp下面所有内容

  3.右键点击 右键菜单中的打开 打开其他分区 删除autorun.inf和ghost.pif

  打开sreng

  启动项目 注册表 删除如下项目
  
Code:
<wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe> [] 
  <ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe> [] 
  <mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> [] 
  <fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe> [] 
  <jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe> [] 
  <wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe> [] 
  <wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe> [] 
  <rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe> [] 
  <wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe> [] 
  <tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe> [] 
  <dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe> [] 
  <wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe> [] 
  <qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe> [] (有哪个删哪个)

  4.删除 瑞星杀毒软件 金山毒霸 江民杀毒软件 卡巴斯基杀毒软件 360安全卫士 等文件夹下名为ws2_32.dll的文件夹

(0)

相关推荐

  • ghost.pif新变种导致杀毒软件0xc00000ba失败的解决方法

    有网友咨询0xc00000ba错误的解决办法,特地从网上帮他找了一个,不知道能否解决问题 这个问题是由一个叫做ghost.pif的U盘病毒导致的 不过最新变种的病毒会查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败. Code: SOFTWARE\\rising\\Rav SOFTWARE\\Kingsoft\\AntiVirus SOFTWARE\\JiangMin SOFTWAR

  • linux系统重装导致免密码key登录失败的解决方法

    在一台linux机器上ssh远程另外一台linux服务器时候出现: [root@server .ssh]# ssh 192.0.50.80 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

  • 基于selenium 获取新页面元素失败的解决方法

    当我们使用selenium 实现模拟登陆时,获取到登陆按钮元素后,直接调用它的click()方法就能实现登陆跳转,并且此时的webDriver 也是指向 当前页面,这个是没问题的,不过需要注意的是因为页面加载速度一般小于程序运行速度,所以在获取登陆后页面的元素之前,可以用WebDriverWait的util方法解决,也可以直接通过Thread.sleep()让程序睡眠一会(不推荐). 但是博主要说的重点是如果我们是通过点击普通超链接进入到新页面,那么通过上面的方法是获取不到新页面元素的,因为此时

  • python logging设置level失败的解决方法

    一.问题描述 在用python开发时经常用到logging这个包,根据官方示例,如果要指定日志级别可以写成如下的方式. import logging logging.basicConfig(level=logging.INFO) 但是在实际应用中,这种方式有时候会设置不成功,导致无法打印出info及以下级别的日志.一种最直接的解决方式是将这两行代码提到文件的最前面,保证在所有其他import语句之前. 示例如下. # encoding=utf8 import logging logging.ba

  • safari cookie设置中文失败的解决方法

    最近用H5进行手机端开发,由于是window操作系统,为了方便开发和调试,直接在chrome浏览器上进行测试,然后在android机上进行手机端测试,当功能基本完工后,原来在android上运行正常的应用,在IOS上运行时,出现很多奇怪的问题,根据排查,发现是由于cookie未取到值而导致相关信息无法获取. 一开始以为是cookie中文乱码的问题,后来跟踪发现,cookie的值压根就没赋值成功,网上查了资料,发现safari不允许非ASCII编码的值,换句话说:不允许中文存储. 为了解决这个问题

  • [企业公众号]升级到[企业微信]之后发送消息失败的解决方法

    本文实例讲述了[企业公众号]升级到[企业微信]之后发送消息失败的解决方法.分享给大家供大家参考,具体如下: 最近,看到消息,说是微信把企业公众号升级到企业微信.当时并没有在意,但是后来发现之前用企业公众号的接口来发通知消息的程序发不出去消息了. 于是,我又打开升级消息,仔细的读了一下:企业号将迁移至企业微信管理后台(work.weixin.qq.com/login)进行统一管理.之前企业公众号的管理后台地址是qy.weixin.qq.com,发不了消息难道是接口地址也变了吗. 登到新后台看了下,

  • 微信小程序首页数据初始化失败的解决方法

    一. 问题描述 用户首次后再次进入小程序时,我们通常需要通过获取用户openid或unionid用作唯一标示与后台进行数据交流,初始化用户信息.当我们通过第三方服务器跟微信建立请求时,微信需要用户确认是否公开信息.如图1,从console可以看到,在请求的同时,我们的首页index已经加载完成,图中初始化数据显示为空.无论我们将请求信息写在app.js的onload中或者index.js中,当我们点击确认后,请求信息才执行success方法,将第三方服务器返回的数据处理,这样的因需要用户点击而产

  • electron demo项目npm install安装失败的解决方法

    electron官网提供的demo项目,在npm install 的时候总是报错显示安装失败, 解决办法:FQ即可成功安装. 以上这篇electron demo项目npm install安装失败的解决方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们. 您可能感兴趣的文章: 解决npm安装Electron缓慢网络超时导致失败的问题

  • Linux程序运行时加载动态库失败的解决方法

    Linux下不能加载动态库问题 当出现下边异常情况 ./test: error while loading shared libraries: libmfs_open.so: cannot open shared object file: No such file or directory 若动态库的路径在(/usr/cluster/.share/lib) 解决办法: 方法一.在/etc/ld.so.conf文件中添加路径,vi /etc/ld.so.conf 添加下边内容 include ld

  • 关于django 1.10 CSRF验证失败的解决方法

    最近工作闲,没事自学django,感觉这个最烦的就是各版本提供的api函数经常有变化,不是取消了就是参数没有了,网上搜到的帖子也没说明用的是什么版本的django,所以经常出现搬运过来的代码解决不了问题的情况,不过基本上遇到的坑不多,最坑的就是在提交post表单时弄了两天的CSRF验证失败问题,特此记录一下,我用的是django 1.10.3: 如果你不想使用这个功能,直接找到settings.py中的'django.middleware.csrf.CsrfViewMiddleware',这一行

随机推荐