ghost.pif新變種導致殺毒軟體0xc00000ba失敗的解決方案

ghost.pif新變種導致殺毒軟體0xc00000ba失敗的解決方案_應用技巧

最後更新：2017-01-18 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

有網友諮詢0xc00000ba錯誤的解決辦法,特地從網上幫他找了一個,不知道能否解決問題

這個問題是由一個叫做ghost.pif的隨身碟病毒導致的

　　不過最新變種的病毒會查詢以下登錄機碼的某些索引值來擷取相關安全軟體的安裝目錄，在獲得安裝目錄下產生以系統檔案名稱"ws2_32.dll"命名的檔案夾，從而使相關安全軟體運行失敗。

　　
Code:
SOFTWARE\\rising\\Rav
　　SOFTWARE\\Kingsoft\\AntiVirus
　　SOFTWARE\\JiangMin
　　SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
　　SOFTWARE\\KasperskyLab\\SetupFolders
　　SOFTWARE\Network Associates\TVD\Shared Components\Framework
　　SOFTWARE\Eset\Nod\CurrentVersion\Info
　　SOFTWARE\\Symantec\\SharedUsage
　　SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe

　　因為這些安全軟體運行時候會載入ws2_32.dll ws2_32.dll正確的位置是在system32下面而軟體通常尋找dll的方法是首先從自己的檔案夾中尋找那麼病毒通過在這些軟體的檔案夾裡建立一個偽造的ws2_32.dll從而導致軟體啟動時載入這個偽造的ws2_32.dll 導致啟動失敗！

　　解決方案如下：

　　1.安全模式下(開機後不斷按F8鍵然後出來一個進階菜單選擇第一項安全模式進入系統)
　　開啟sreng

　　啟動項目註冊表刪除如下項目
　　<{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation]

　　雙擊我的電腦，工具，檔案夾選項，查看，單擊選取"顯示隱藏檔案或檔案夾" 並清除"隱藏受保護的作業系統檔案（推薦）"前面的鉤。在提示確定更改時，單擊“是” 然後確定

　　右鍵點擊右鍵菜單中的開啟開啟C盤
　　刪除

　　
Code:
C:\Program Files\Internet Explorer\romdrivers.bak
　　C:\Program Files\Internet Explorer\romdrivers.bkk
　　C:\Program Files\Internet Explorer\romdrivers.dll

　　2.清空C:\DOCUME~1\使用者名稱\LOCALS~1\Temp下面所有內容

　　3.右鍵點擊右鍵菜單中的開啟開啟其他分區刪除autorun.inf和ghost.pif

　　開啟sreng

　　啟動項目註冊表刪除如下項目
　　
Code:
<wosa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\woso.exe> []
　　<ztsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\ztso.exe> []
　　<mhsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\mhso.exe> []
　　<fysa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\fyso.exe> []
　　<jtsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\jtso.exe> []
　　<wlsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\wlso.exe> []
　　<wgsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\wgso.exe> []
　　<rxsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\rxso.exe> []
　　<wdsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\wdso.exe> []
　　<tlsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\tlso.exe> []
　　<dasa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\daso.exe> []
　　<wmsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\wmso.exe> []
　　<qjsa><C:\DOCUME~1\使用者名稱\LOCALS~1\Temp\qjso.exe> [] （有哪個刪哪個）

　　4.刪除瑞星殺毒軟體金山毒霸江民殺毒軟體卡巴斯基殺毒軟體 360安全衛士等檔案夾下名為ws2_32.dll的檔案夾

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More

ghost.pif新變種導致殺毒軟體0xc00000ba失敗的解決方案_應用技巧

聯繫我們

熱門內容

A Free Trial That Lets You Build Big!

Sales Support

After-Sales Support

ghost.pif新變種導致殺毒軟體0xc00000ba失敗的解決方案_應用技巧

聯繫我們

熱門內容

熱門主題

A Free Trial That Lets You Build Big!

Sales Support

After-Sales Support