4月21日到24日四天去旅游~~~

 

没网上~~

 

谁能帮我开4天QQ  ？~~ 损友们~ 帮帮忙~~

4月5日 21：00
    受施工单位某人邀请，说电脑程序不能运行了，遂去。
    现象：
    桌面正常，QQ正在聊天，电脑反应较慢。开“任务管理器” 发现一堆不明进程，结束所有不明进程，其中有两个进程较狠，显示为“系统进程，无法结束”，这两进程是“WINLOGON.EXE” 和 “LSASS.EXE”，存在于 WINDOWS 目录下，以当前用户身份运行。正常的 winlogon.exe 和 lsass.exe 应存在于 system32 目录下，以 system 身份运行。确定为病毒。
    运行 msconfig 以检查病毒启动情况，却出现 msconfig.exe 打开方式，判断 EXE 文件关联破坏。

 

当晚 21：20
    重启进入安全模式，病毒WINLOGON.EXE 仍在运行，无法结束。
    重启进入带网络连接的安全模式，下载第三方进程管理器。
    先解决无法执行 EXE 文件问题：打开“我的电脑”，进入 \WINDOWS\SYSTEM32 目录下，将 CMD.EXE 复制并更名为 CMD.COM ，运行。输入“assoc<空格>.exe=exefile”，提示成功。
    安装第三方进程管理器，结束 WINLOGON.EXE 并选择删除此文件，删除启动项。运行卡巴，扫描 C 盘，报告若干病毒，但提示无法清除，将在下次启动时删除。因此电脑有多人使用，便将其余分区全部扫描，删除弱智病毒一堆。

 

当晚 22：00
    保险起见，重启仍进入安全模式。检查启动项，C：\WINDOWS\WINLOGON.EXE 仍被添加，此进程仍然运行。遂想不能启动此系统再杀毒。找来急救光盘，从光盘启动以避开系统。
    进 CMOS 设置启动顺序，提示 PASSWORD ，旁观者摇头。试万能密码，不通。
    重启进安全模式，EXE 文件关联又被破坏，运行 CMD.COM ，用 DEBUG 清除 CMOS 密码：
    DEBUG
    -O 70 10
    -O 71 01
    -Q
    重启，无效。
    关机，放电。

 

当晚 22：10
    重设 CMOS 设置，从光盘启动至 DOS ，发现系统盘为 NTFS 格式，无法进入。
    重启进入光盘 WIN 系统，在命令提示符状态下删除 WINLOGON.EXE 和 LSASS.EXE 文件。因此二文件为 SHR 属性，删除前需取消掉 SHR 属性。
    顺便查看 D 盘，有可疑隐藏文件 “autorun.ini” 和 “pagefile.pif” ， type autorun.ini ，其指向 pagefile.pif 。随手删除。

 

当晚 22：20
    硬盘启动入安全模式，恢复 EXE 文件关联。不久发现 WINLOGON.EXE 仍然运行。
    郁闷。

 

当晚 22：30
    仍然郁闷，启动卡巴。

 

当晚 22：45
    卡巴报告无病毒，郁闷。

 

当晚 23：00
    仍然郁闷。

 

当晚 23：01
    陪僵尸玩连连看。

 

 

 

今日 08：30
    拆下此硬盘，挂接我电脑上。上网查 WINLOGON.EXE 病毒资料，某网站中有此病毒说明：
    1、
    D:\autorun.inf
    D:\pagefile.pif
    2、
    C:\windows\winlogon.exe
    C:\WINDOWS\ExERoute.exe
    3、
    C:\WINDOWS\1.com
    C:\WINDOWS\finder.com
    C:\WINDOWS\explorer.com
    C:\WINDOWS\system32\command.pif
    C:\WINDOWS\system32\rundll32.com 。
    C:\WINDOWS\system32\finder.com
    C:\WINDOWS\system32\msconfig.com
    C:\WINDOWS\system32\dxdiag.com
    C:\WINDOWS\system32\regedit.com
    C:\WINDOWS\Debug\DebugProgram.exe
    C:\Program Files\Internet Explorer\iexplore.com 
    C:\Program Files\Common Files\Explorer.PIF
    说明：（1）为双击D盘时启动病毒文件；（2）利用 windows 启动程序先查找 windows 目录后查找 system32 目录的方法，使病毒运行；（3）利用系统运行程序时先查找 .com 文件后查找 .exe 文件方法，是病毒运行。众多 .com 程序都为杀毒时必用，所以病毒得以运行。
    另外，此网站报告病毒大小为 48340 字节并说明此前有出现过 33833 字节，但我查到的为 48873 字节。可见病毒在被修改。也许新病毒将复制出更多隐蔽的 .com 文件，但我未搜索到新文件。
    依次删除以上文件，装回硬盘。

 

今日 9：30
    正常。

如题。

啊头走左~~~

新啊头身兼两地 ~~

阳历：2006年03月17日

佛历 2550 年 3月 17日 星期五
农历：二○○六年二月十八 丙戌年辛卯月乙巳日 
宜： 出行 结婚姻 嫁娶 求医疗病 修造动土 破屋坏垣
忌： 祈福 会亲友 开市 纳财

更新了劲乐团的音乐~~~

 

3月10日新出的歌竟然 56 级 ！！！

上星期日凌晨5时左右，在沙井某间无牌网吧内。

 

由于配置太……点开了仅有的三个小游戏中的一个 ……

 

制作公司竟然是 伊世 国际集团？！？！ 当时想法就是，我们的名字竟然被注册了？！

 

而且竟然是做这样垃圾的小游戏-----”陪美女打麻将“ ~~~~~

 

仔细一看~ 原来是 伊世纪 ~~

 

再一想 ~ 估计也是间小作坊 ~ 不可能是什么国际集团 ~~