爱华网问题补充:光驱坏了~~~
提问者: qiunianxi - 二级
最佳答案
遇到的关于MMC.EXE被感染的事。由于系统常常处于保护状态,所以呢,在操作系统中并没有安装什么杀毒软件。但最近突然发现会在关闭某个程序时出现“XXXX不能READ”的出错提示,比如:-------------E.G.1------------------mmc.exe应用程序错误(有时为CTFMON.EXE等在系统启动项中已经启用的内容)“0x77fc9e82"指令引用的"0x00000067"内存。该内存不能为"written"。要终止程序,请单击“确定”。要调试程序,请单击“取消”。-------------E.G.2------------------“……(为字符)"指令引用的"……(为字符)"内存。该内存不能为"read"。要终止程序,请单击“确定”。要调试程序,请单击“取消”。-------------E N D-----------------查过网络内容,说法并不一致,有一说是:可能的中毒症状有:系统启动变慢,运行变慢。任务管理器中显示有带电子表格文件图标的kill或其他应用程序运行。无法双击打开磁盘,或双击打开磁盘后自动最大化。打开磁盘或文件夹的右键菜单,发现“aoto”字样。运行病毒样本后..释放文件C:WINDOWSBACKINF.TABC:WINDOWSSession.exeC:WINDOWSsvchost.exeC:WINDOWSsystem32FileKan.exeC:WINDOWSsystem32SocksA.exeC:WINDOWSufdata2000.log%Temp%下释放两个随机名的临时文件(*.tmp)替换掉系统文件 C:WINDOWSsystem32mmc.exe释放每个盘符下AUTORUN.INFtel.xls.exe注册表添加HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun[ASocksrv]SocksA.exe{0x00}{0x00}{0x00}{0x00}{0x00}添加服务[Smart Card Supervisor / mmc]*/删除隐藏文件键值HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue访问本地 127.0.0.1对这种情况,可以考虑的清除方法:首先下载并解压 SREng软件。特别要提醒的是,如果这个程序不能运行,可以尝试重命名为*.COM形式再运行,有些变态的病毒会禁止EXE文件执行操作,或转向运行病毒文件。1.Ctrl + Alt + Del 打开任务管理器结束应用程序 kill结束进程 mmc.exe ——真的可以结束???2.删除添加的注册表以及服务启动 SREng [系统恢复引擎] 解压 运行-启动项目-注册表-删除启动项目-服务-WIN32 应用程序,找到 [Smart Card Supervisor / mmc]-删除3.利用压缩工具 WINRAR 删除文件C:WINDOWSBACKINF.TAB;Session.exe;svchost.exe;ufdata2000.logC:WINDOWSsystem32FileKan.exe;SocksA.exe;mmc.exe还有每个盘符下的AUTORUN.INFtel.xls.exe ——这是针对由此引起的中毒所采用的方法。3.恢复显示隐藏文件功能将[系统恢复引擎软件压缩包]中的注册表文件: 不能显示隐藏文件.reg 双击导入即可..4.去正常系统中复制一个 C:WINDOWSsystem32mmc.exe 到本机..部分操作系统能够自行恢复初始的mmc.exe文件而我所遭遇的情况好像并不一样:检查系统进程,发现进程中有一个MMC.EXE的进程,删除进程后,会自动产生一个同名的进程,只是PID会不一样,动用强制删除进程的方式,结果无效。查看进程的关系,发现该进程是WINLOG的子进程,从表面看,并没有异样。在使用超级巡警时,如果删除该进程,会使超级巡警停止工作,并退出程序界面。在中毒状态下,无法正常运行可执行程序——但又并非完全不能运行。使用批处理文档完全可以引导可执行程序。强制删除WINDOWSSYSTEM32MMC.EXE不成功——不停地会有新的MMC进程产生,手工删除太慢,没有尝试批处理方式进行。查看了其它分区的内容,并没有找到可疑文档的存在。期间动用了HiJackThis,并没有发现其它问题的存在。反正机器中并没有什么重要的东东,重装……补充说明一下,这台破机器的光驱坏了,只能使用硬盘方式安装,好在本来有一个备份在硬盘中,所费周折并不大,所谓有备无患。(全部积分就不用了,因为这也是别人告诉我的,只需原有的积分便可,积分真得很不容易)
