ghost.pif新變種導致殺毒軟件0xc00000ba失敗的解決方法
2020-10-28 20:16:38
供稿:網友
有網友咨詢0xc00000ba錯誤的解決辦法,特地從網上幫他找了一個,不知道能否解決問題
這個問題是由一個叫做ghost.pif的U盤病毒導致的
不過最新變種的病毒會查詢以下注冊表項的某些鍵值來獲取相關安全軟件的安裝目錄,在獲得安裝目錄下生成以系統文件名"ws2_32.dll"命名的文件夾,從而使相關安全軟件運行失敗。
Code:
SOFTWARE//rising//Rav
SOFTWARE//Kingsoft//AntiVirus
SOFTWARE//JiangMin
SOFTWARE/KasperskyLab/InstalledProducts/Kaspersky Anti-Virus Personal
SOFTWARE//KasperskyLab//SetupFolders
SOFTWARE/Network Associates/TVD/Shared Components/Framework
SOFTWARE/Eset/Nod/CurrentVersion/Info
SOFTWARE//Symantec//SharedUsage
SOFTWARE/Microsoft/Windows/CurrentVersion/App Paths/360safe.exe
因為這些安全軟件運行時候會加載ws2_32.dll ws2_32.dll正確的位置是在system32下面 而軟件通常尋找dll的方法是首先從自己的文件夾中尋找 那么病毒通過在這些軟件的文件夾里創建一個偽造的ws2_32.dll從而導致軟件啟動時加載這個偽造的ws2_32.dll 導致啟動失敗!
解決方法如下:
1.安全模式下(開機后不斷 按F8鍵 然后出來一個高級菜單 選擇第一項 安全模式 進入系統)
打開sreng
啟動項目 注冊表 刪除如下項目
<{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:/Program Files/Internet Explorer/romdrivers.dll> [Microsoft Corporation]
雙擊我的電腦,工具,文件夾選項,查看,單擊選取"顯示隱藏文件或文件夾" 并清除"隱藏受保護的操作系統文件(推薦)"前面的鉤。在提示確定更改時,單擊“是” 然后確定
右鍵點擊 右鍵菜單中的打開 打開C盤
刪除
Code:
C:/Program Files/Internet Explorer/romdrivers.bak
C:/Program Files/Internet Explorer/romdrivers.bkk
C:/Program Files/Internet Explorer/romdrivers.dll
2.清空C:/DOCUME~1/用戶名/LOCALS~1/Temp下面所有內容
3.右鍵點擊 右鍵菜單中的打開 打開其他分區 刪除autorun.inf和ghost.pif
打開sreng
啟動項目 注冊表 刪除如下項目
Code:
<wosa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/woso.exe> []
<ztsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/ztso.exe> []
<mhsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/mhso.exe> []
<fysa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/fyso.exe> []
<jtsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/jtso.exe> []
<wlsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/wlso.exe> []
<wgsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/wgso.exe> []
<rxsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/rxso.exe> []
<wdsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/wdso.exe> []
<tlsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/tlso.exe> []
<dasa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/daso.exe> []
<wmsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/wmso.exe> []
<qjsa><C:/DOCUME~1/用戶名/LOCALS~1/Temp/qjso.exe> [] (有哪個刪哪個)
4.刪除 瑞星殺毒軟件 金山毒霸 江民殺毒軟件 卡巴斯基殺毒軟件 360安全衛士 等文件夾下名為ws2_32.dll的文件夾
