請教

干花 · 发表于 2004-4-10 21:46

我在每次啓動電腦的後都會出玩以下一個對話框：
drvrquery32.exe-應用程序錯誤
應用程序正常初始化（0XC0000005）失敗，請單擊“確定”，終止應用程序。
hiderun error
could not create process
但我用搜索找不到這個drvrquery32.exe程序
我認爲可以是中毒了，但在病毒掃描時沒發現病毒。這是什麽原因，怎麽解決呢？？

干花 · 发表于 2004-4-10 21:49

而且有時候會出現我關閉IE或關閉某個應用程序時，突然重啓
用的是win2000 professional操作系統

一斛酒 · 发表于 2004-4-10 22:29

关于系统重启，置顶的问题集里有相关专贴，可以参考一下。
关于第一个问题，试解答如下：
鉴于您已经用杀毒软件扫描过了，就不提示您再扫描了，呵呵~
找找电脑里是否有REG_IROFFER12.A之类的，有就删除。
1.开始——运行，输入regedit，回车，打开注册表编辑器。
2.在HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run下找到以下几项并删除：
"drvrmanager"="c:\\winnt\\system32\\drvrquery32.exe /S"
"HideRun.exe"="
c:\\winnt\\system32\\HideRun.exe c:\\winnt\\system32\\svhost.exe c:\\winnt\\system32\\pro.gif"
"Xecuter.bat"=c:\\winnt\\system32\\psexec.bat"
注意：%System% 是系统文件夹，在WIN2000下通常是C:\WINNT\System32目录
3.在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\下找到以下几项并删除：
"AutoShareWks"=dword:00000000”
"AutoShareServer"=dword:00000000”
4.关闭注册表编辑器，并重启电脑。
我在这儿看到的，稍为翻译了一下。你可以比照看看。
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=REG_IROFFER12.A

冷牧 · 发表于 2004-4-10 22:34

哇, 用繁体字哇. 呵呵
GB18030
你可能是中了Bat病毒. 你的系统是什么的? XP?

干花 · 发表于 2004-4-10 22:37

"Xecuter.bat"=c:\\winnt\\system32\\psexec.bat"
這一項在注冊表中沒找到

一斛酒 · 发表于 2004-4-10 22:39

只搜索前一项，具体在哪儿不必理会~
万一真没有，不是更好嘛~反正看到也是删除，没这个文件省一道事~

冷牧 · 发表于 2004-4-10 22:40

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "drvrquery32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "HideRun.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Xecuter.bat"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msnet
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\drvmanager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\startupdll
这些键值捏?

干花 · 发表于 2004-4-10 22:41

"AutoShareWks"=dword:00000000”
"AutoShareServer"=dword:00000000”
這兩項也沒有的說

冷牧 · 发表于 2004-4-10 22:47

这种病毒还会添加具有管理员级别的用户.

干花 · 发表于 2004-4-10 22:56

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "HideRun.exe"這個有耶，怎麽做？
刪了嗎？？

干花 · 发表于 2004-4-10 22:59

爲什麽我刪掉了，重啓電腦還有啊？？？

干花 · 发表于 2004-4-10 23:04

重啓好電腦之後，打開注冊表項，"drvrmanager"="c:\\winnt\\system32\\drvrquery32.exe /S"
"HideRun.exe"="
c:\\winnt\\system32\\HideRun.exe c:\\winnt\\system32\\svhost.exe c:\\winnt\\system32\\pro.gif"
這兩項居然還在，根本沒被刪掉，暈得我~~~

冷牧 · 发表于 2004-4-10 23:27

一定要保证这些键值不在注册表里.
startupdll
psexec.bat
msnet
svhost.exe
drvmanager
drvrquery32.exe
HideRun.exe
病毒文件在windows/system32/ 或在其下自动生成/temp /temp1 文件夹.
病毒有可能自动生成病毒备份文件
drvrquery32.exe -- sys.bak
CommonDlg32.dll -- admini.bak
svhost.exe -- systemrun.bak
pro.gif -- sysdlladmin.bak
cygwin1.dll -- starterdll.bak
重新启动系统, 一定要保持网络连接是断开的.
最好能用软盘启动, 在DOS模式下进行操作.

我的文档 · 发表于 2004-4-10 23:54

谢谢哈
谢谢红豆树下·副舵主] 哈
在你的启发下
我把我的一个这样的文件给删了
我要玩泡泡堂但总说不能同时和 SERVICES。EXE
一起同时运行呵呵我进去找啊找把那个删了
我就不知道怎么删来着还不知道有个什么注册表来着
以后要是有问题多多请教你哈麻烦你了

一斛酒 · 发表于 2004-4-11 01:06

补充一句，开始——运行,msconfig，查看启动项里有没有可疑程序，若有，取消。

冷牧 · 发表于 2004-4-11 09:48

下面引用由我的文档在 2004/04/10 11:54pm 发表的内容：
谢谢哈
谢谢红豆树下·副舵主] 哈
在你的启发下
我把我的一个这样的文件给删了
...

大家互相学习吧, 不对的地方请大家指出.

这个世界, 没有愚蠢的问题, 只有愚蠢的回答!

一斛酒 · 发表于 2004-4-11 12:01

下面引用由冷牧在 2004/04/11 09:48am 发表的内容：

这个世界, 没有愚蠢的问题, 只有愚蠢的回答!

汗。。以后不敢轻易回答别人了~
其实个人认为提问也好，回答也好，都没有愚蠢或聪明之说。学也无涯，大家了解的层面或程度都不一样。求教的心是一样的，帮助人的心也是一样的。呵呵~

古道边 · 发表于 2004-4-11 12:13

呵呵~ 酒酒可8要汗~呀~
酒酒的回答一直都很好呀!~

一斛酒 · 发表于 2004-4-11 12:35

其实我是个菜鸟~

回答问题的时候都捏一把汗呢~

冷牧 · 发表于 2004-4-11 12:39

互相帮助, 共同进步! 繁荣唐宋!

		自动登录	找回密码
密码			注册