快捷導(dǎo)航

ghost.pif新變種導(dǎo)致殺毒軟件0xc00000ba失敗的解決方法

更新時(shí)間：2007年07月30日 20:42:24 作者：

有網(wǎng)友咨詢0xc00000ba錯(cuò)誤的解決辦法,特地從網(wǎng)上幫他找了一個(gè),不知道能否解決問(wèn)題

這個(gè)問(wèn)題是由一個(gè)叫做ghost.pif的U盤(pán)病毒導(dǎo)致的

　　不過(guò)最新變種的病毒會(huì)查詢以下注冊(cè)表項(xiàng)的某些鍵值來(lái)獲取相關(guān)安全軟件的安裝目錄，在獲得安裝目錄下生成以系統(tǒng)文件名"ws2_32.dll"命名的文件夾，從而使相關(guān)安全軟件運(yùn)行失敗。

　　
Code:
SOFTWARE\\rising\\Rav
　　SOFTWARE\\Kingsoft\\AntiVirus
　　SOFTWARE\\JiangMin
　　SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
　　SOFTWARE\\KasperskyLab\\SetupFolders
　　SOFTWARE\Network Associates\TVD\Shared Components\Framework
　　SOFTWARE\Eset\Nod\CurrentVersion\Info
　　SOFTWARE\\Symantec\\SharedUsage
　　SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe

　　因?yàn)檫@些安全軟件運(yùn)行時(shí)候會(huì)加載ws2_32.dll ws2_32.dll正確的位置是在system32下面而軟件通常尋找dll的方法是首先從自己的文件夾中尋找那么病毒通過(guò)在這些軟件的文件夾里創(chuàng)建一個(gè)偽造的ws2_32.dll從而導(dǎo)致軟件啟動(dòng)時(shí)加載這個(gè)偽造的ws2_32.dll 導(dǎo)致啟動(dòng)失??！

　　解決方法如下：

　　1.安全模式下(開(kāi)機(jī)后不斷按F8鍵然后出來(lái)一個(gè)高級(jí)菜單選擇第一項(xiàng) 安全模式進(jìn)入系統(tǒng))
　　打開(kāi)sreng

　　啟動(dòng)項(xiàng)目注冊(cè)表刪除如下項(xiàng)目
　　<{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation]

　　雙擊我的電腦，工具，文件夾選項(xiàng)，查看，單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護(hù)的操作系統(tǒng)文件（推薦）"前面的鉤。在提示確定更改時(shí)，單擊“是” 然后確定

　　右鍵點(diǎn)擊右鍵菜單中的打開(kāi) 打開(kāi)C盤(pán)
　　刪除

　　
Code:
C:\Program Files\Internet Explorer\romdrivers.bak
　　C:\Program Files\Internet Explorer\romdrivers.bkk
　　C:\Program Files\Internet Explorer\romdrivers.dll

　　2.清空C:\DOCUME~1\用戶名\LOCALS~1\Temp下面所有內(nèi)容

　　3.右鍵點(diǎn)擊右鍵菜單中的打開(kāi) 打開(kāi)其他分區(qū) 刪除autorun.inf和ghost.pif

　　打開(kāi)sreng

　　啟動(dòng)項(xiàng)目注冊(cè)表刪除如下項(xiàng)目
　　
Code:
<wosa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\woso.exe> []
　　<ztsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\ztso.exe> []
　　<mhsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\mhso.exe> []
　　<fysa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\fyso.exe> []
　　<jtsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\jtso.exe> []
　　<wlsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\wlso.exe> []
　　<wgsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\wgso.exe> []
　　<rxsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\rxso.exe> []
　　<wdsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\wdso.exe> []
　　<tlsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\tlso.exe> []
　　<dasa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\daso.exe> []
　　<wmsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\wmso.exe> []
　　<qjsa><C:\DOCUME~1\用戶名\LOCALS~1\Temp\qjso.exe> [] （有哪個(gè)刪哪個(gè)）

　　4.刪除瑞星殺毒軟件金山毒霸江民殺毒軟件卡巴斯基殺毒軟件 360安全衛(wèi)士等文件夾下名為ws2_32.dll的文件夾