|
--------------------------------------------------------------------------------
针对症状,我先上网找了相关的资料,首先,要显示隐藏文件
在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”——〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏,遇到这种情况,请在Windows XP安装光盘中找到Hidden.reg,双击它,然后单击“确定”按钮,将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP安装光盘找来找去都没有这个东西,假如你不幸遇到这种情况,可以尝试使用这种方法:找一部没有问题的电脑,把
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外,祝各位好运!假如某人能够在XP安装光盘里找到这个东西,请把文件里面的内容复制到评论里面,并且注明该XP安装光盘有没有打过SP1或者是SP2,谢谢!)
我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生。而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动,我把金山的换成江民的,还是没用,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉,我也找了网上的资料,不过我试了,没有用,找不到rous.exe,我提供给你们,自己去试一下看看!
你这是修改过的ROSE病毒可以结束SXS的进程删除,记住,用鼠标右键进入硬盘同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器选择里面的“进程”标签在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
一定要结束所有的“sxs.exe”进程打开我的电脑 单击 工具菜单下的“文件夹选项”
单击“查看”标签 把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消并选择下面的“显示所有文件和文件夹”选项单击“确定”
用鼠标右键点C盘(不能双击!) 选择 “打开”
删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件用鼠标右键点D盘 选择 “打开”
删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是,是个。exe 同样删了它)
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件单击开始 选择“运行” 输入 "regedit"(没有引号) ,回车依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目关闭注册表编辑器然后重新启动计算机删除硬盘上是ROSE:按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
打开我的电脑这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)
删除 SXS.exe和autorun.inf文件 病毒就没有了
上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒
打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有些网友说删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
我找了一下没找到这个Run项目,但是我看了一下在Run里面有两个"SoundMam",而且后面给的数值不一样,一个给的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了,肯定有问题,我看了一下,只有后面一个是正确的,前一个是豪杰超级解霸的“自动播放伺服器”的程序,看来病毒是加到这个里面了,借助自动播放到处传播!(这是我认为的,不知道对不对)于是就删除了这个项,退出注册表,打开杀毒软件,可以使用了,只是在一般杀毒时,还是找不到sxs.exe的,我用的是江民的,他有未知病毒扫描,在那里里面可以发现的,他是一种“硬盘蠕虫病毒”,删掉就行了,本来我是想截屏给大家看看的,可惜我重启了,没复制下来,哪位朋友补充一下在下面!感谢!
那还剩下autorun.inf,直接到各个硬盘删就可以了,再清空回收站就可以了,其他的都正常了,可能还有些网友系统可能出现些问题,如豪杰超级解霸的“自动播放伺服器”不能使用了,我的建议是:不要用了,就是他坏的事!要是你非要用就重新装吧!最后重新启动,可以了!
华为学习材料5.0的要的来!!
QQ群:32996141
华为技术,服务器安全,路由安全,技术支持!回收资源,认证考试,学习资料,共享区有
www.100kw.com
标题:Sxs.exe病毒处理方法
--------------------------------------------------------------------------------
针对症状,我先上网找了相关的资料,首先,要显示隐藏文件
在这个:HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\
Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
还是没有用,隐藏文件还是没有显示,仔细观察发现病毒它有更狠的招数:它在修改注册表达到隐藏文件目的之后,为了稳妥起见,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0(如图)!这样你以为把0改为1就会万事大吉,可是故障依旧如此!也就难怪出现以上的现象了。
正确的方法是:先检查CheckedValue的类型是否为REG_DWORD,如果不是则删掉“李鬼”CheckedValue(例如在本“案例”中,应该把类型为REG_SZ的CheckedValue删除)。然后单击右键“新建”——〉“Dword值”,并命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”。
经过刚才一番操作,我的电脑里的隐藏文件可以看到了,假如上述方法无效,那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden的数据丢失或损坏,遇到这种情况,请在Windows XP安装光盘中找到Hidden.reg,双击它,然后单击“确定”按钮,将该完整的注册表数据添加到当前系统的注册表中即可。(备注:可是我手头上的XP安装光盘找来找去都没有这个东西,假如你不幸遇到这种情况,可以尝试使用这种方法:找一部没有问题的电脑,把
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden这个分支导出(假如命名为1.reg);然后备份有问题的电脑的该注册表分支;最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外,祝各位好运!假如某人能够在XP安装光盘里找到这个东西,请把文件里面的内容复制到评论里面,并且注明该XP安装光盘有没有打过SP1或者是SP2,谢谢!)
我看到在我的D:E:F:这些盘中(除了c盘)都出现了autorun.inf和sxs.exe两个文件,删除又再生。而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动,我把金山的换成江民的,还是没用,看来是病毒限制了杀毒软件的运行,所以首先要把病毒的自动运行关掉,我也找了网上的资料,不过我试了,没有用,找不到rous.exe,我提供给你们,自己去试一下看看!
你这是修改过的ROSE病毒可以结束SXS的进程删除,记住,用鼠标右键进入硬盘同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器选择里面的“进程”标签在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
一定要结束所有的“sxs.exe”进程打开我的电脑 单击 工具菜单下的“文件夹选项”
单击“查看”标签 把“高级设置”中的“隐藏受保护的操作系统文件(推荐)”前面的勾取消并选择下面的“显示所有文件和文件夹”选项单击“确定”
用鼠标右键点C盘(不能双击!) 选择 “打开”
删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件用鼠标右键点D盘 选择 “打开”
删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是,是个。exe 同样删了它)
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件单击开始 选择“运行” 输入 "regedit"(没有引号) ,回车依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目关闭注册表编辑器然后重新启动计算机删除硬盘上是ROSE:按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
打开我的电脑这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)
删除 SXS.exe和autorun.inf文件 病毒就没有了
上面我说了这个方法对我没有用!sxs.exe没有专杀,现在只能通过注册表杀毒
打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
有些网友说删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
我找了一下没找到这个Run项目,但是我看了一下在Run里面有两个"SoundMam",而且后面给的数值不一样,一个给的是“C:\\WINDOWS\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了,肯定有问题,我看了一下,只有后面一个是正确的,前一个是豪杰超级解霸的“自动播放伺服器”的程序,看来病毒是加到这个里面了,借助自动播放到处传播!(这是我认为的,不知道对不对)于是就删除了这个项,退出注册表,打开杀毒软件,可以使用了,只是在一般杀毒时,还是找不到sxs.exe的,我用的是江民的,他有未知病毒扫描,在那里里面可以发现的,他是一种“硬盘蠕虫病毒”,删掉就行了,本来我是想截屏给大家看看的,可惜我重启了,没复制下来,哪位朋友补充一下在下面!感谢!
那还剩下autorun.inf,直接到各个硬盘删就可以了,再清空回收站就可以了,其他的都正常了,可能还有些网友系统可能出现些问题,如豪杰超级解霸的“自动播放伺服器”不能使用了,我的建议是:不要用了,就是他坏的事!要是你非要用就重新装吧!最后重新启动,可以了!
标题:网络工程师应掌握的44个路由器知识要点
--------------------------------------------------------------------------------
1、什么时候使用多路由协议?
当两种不同的路由协议要交换路由信息时,就要用到多路由协议。当然,路由再分配也可以交换路由信息。下列情况不必使用多路由协议:
从老版本的内部网关协议( Interior Gateway Protocol,I G P)升级到新版本的I G P。
你想使用另一种路由协议但又必须保留原来的协议。
你想终止内部路由,以免受到其他没有严格过滤监管功能的路由器的干扰。
你在一个由多个厂家的路由器构成的环境下。
什么是距离向量路由协议?
距离向量路由协议是为小型网络环境设计的。在大型网络环境下,这类协议在学习路由及保持路由将产生较大的流量,占用过多的带宽。如果在9 0秒内没有收到相邻站点发送的路由选择表更新,它才认为相邻站点不可达。每隔30秒,距离向量路由协议就要向相邻站点发送整个路由选择表,使相邻站点的路由选择表得到更新。这样,它就能从别的站点(直接相连的或其他方式连接的)收集一个网络的列表,以便进行路由选择。距离向量路由协议使用跳数作为度量值,来计算到达目的地要经过的路由器数。
例如,R I P使用B e l l m a n - F o r d算法确定最短路径,即只要经过最小的跳数就可到达目的地的线路。最大允许的跳数通常定为1 5。那些必须经过1 5个以上的路由器的终端被认为是不可到达的。
距离向量路由协议有如下几种: IP RIP、IPX RIP、A p p l e Talk RT M P和I G R P。
什么是链接状态路由协议?
链接状态路由协议更适合大型网络,但由于它的复杂性,使得路由器需要更多的C P U资源。它能够在更短的时间内发现已经断了的链路或新连接的路由器,使得协议的会聚时间比距离向量路由协议更短。通常,在1 0秒钟之内没有收到邻站的H E L LO报文,它就认为邻站已不可达。一个链接状态路由器向它的邻站发送更新报文,通知它所知道的所有链路。它确定最优路径的度量值是一个数值代价,这个代价的值一般由链路的带宽决定。具有最小代价的链路被认为是最优的。在最短路径优先算法中,最大可能代价的值几乎可以是无限的。
如果网络没有发生任何变化,路由器只要周期性地将没有更新的路由选择表进行刷新就可以了(周期的长短可以从3 0分钟到2个小时)。
链接状态路由协议有如下几种: IP OSPF、IPX NLSP和I S - I S。
一个路由器可以既使用距离向量路由协议,又使用链接状态路由协议吗?
可以。每一个接口都可以配置为使用不同的路由协议;但是它们必须能够通过再分配路由来交换路由信息。(路由的再分配将在本章的后面进行讨论。)
2、什么是访问表?
访问表是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由器自己产生的。访问表能够允许或禁止数据包进入或输出到目的地。访问表的表项是顺序执行的,即数据包到来时,首先看它是否是受第一条表项约束的,若不是,再顺序向下执行;如果它与第一条表项匹配,无论是被允许还是被禁止,都不必再执行下面表项的检查了。
每一个接口的每一种协议只能有一个访问表。
支持哪些类型的访问表?
一个访问表可以由它的编号来确定。具体的协议及其对应的访问表编号如下:
◎I P标准访问表编号:1~9 9
◎I P扩展访问表编号:1 0 0~1 9 9
◎I P X标准访问表编号:8 0 0~8 9 9
◎I P X扩展访问表编号:1 0 0 0~1 0 9 9
◎AppleTa l k访问表编号:6 0 0~6 9 9
提示在Cisco IOS Release11.2或以上版本中,可以用有名访问表确定编号在1~199的访问表。
如何创建IP标准访问表?
一个I P标准访问表的创建可以由如下命令来完成: Access-list access list number {permit | deny} source [source-mask]
在这条命令中:
◎access list number:确定这个入口属于哪个访问表。它是从1到9 9的数字。
◎permit | deny:表明这个入口是允许还是阻塞从特定地址来的信息流量。
◎source:确定源I P地址。
◎s o u r c e - m a s k:确定地址中的哪些比特是用来进行匹配的。如果某个比特是"1",表明地址中该位比特不用管,如果是"0"的话,表明地址中该位比特将被用来进行匹配。可以使用通配符。
以下是一个路由器配置文件中的访问表例子:
Router# show access-lists
Standard IP access list 1
deny 204.59.144.0, wildcard bits 0.0.0.255
ermit any
3、什么时候使用路由再分配?
路由再分配通常在那些负责从一个自治系统学习路由,然后向另一个自治系统广播的路由器上进行配置。如果你在使用I G R P或E I G R P,路由再分配通常是自动执行的。
4、什么是管理距离?
管理距离是指一种路由协议的路由可信度。每一种路由协议按可靠性从高到低,依次分配一个信任等级,这个信任等级就叫管理距离。对于两种不同的路由协议到一个目的地的路由信息,路由器首先根据管理距离决定相信哪一个协议。
5、如何配置再分配?
在进行路由再分配之前,你必须首先:
1) 决定在哪儿添加新的协议。
2) 确定自治系统边界路由器(ASBR)。
3) 决定哪个协议在核心,哪个在边界。
4) 决定进行路由再分配的方向。
可以使用以下命令再分配路由更新(这个例子是针对OSPF的):
router(config-router)#redistribute protocol [process-id] [metric metric - value ] [metric-type type - value ] [subnets]
在这个命令中:
◎protocol:指明路由器要进行路由再分配的源路由协议。
主要的值有: bgp、eqp、igrp、isis、ospf、static [ ip ]、connected和rip。
◎process-id:指明OSPF的进程ID。
◎metric:是一个可选的参数,用来指明再分配的路由的度量值。缺省的度量值是0。
6、为什么确定毗邻路由器很重要?
在一个小型网络中确定毗邻路由器并不是一个主要问题。因为当一个路由器发生故障时,别的路由器能够在一个可接受的时间内收敛。但在大型网络中,发现一个故障路由器的时延可能很大。知道毗邻路由器可以加速收敛,因为路由器能够更快地知道故障路由器,因为hello报文的间隔比路由器交换信息的间隔时间短。
使用距离向量路由协议的路由器在毗邻路由器没有发送路由更新信息时,才能发现毗邻路由器已不可达,这个时间一般为10~90秒。而使用链接状态路由协议的路由器没有收到hello报文就可发现毗邻路由器不可达,这个间隔时间一般为10秒钟。
距离向量路由协议和链接状态路由协议如何发现毗邻路由器?
使用距离向量路由协议的路由器要创建一个路由表(其中包括与它直接相连的网络),同时它会将这个路由表发送到与它直接相连的路由器。毗邻路由器将收到的路由表合并入它自己的路由表,同时它也要将自己的路由表发送到它的毗邻路由器。使用链接状态路由协议的路由器要创建一个链接状态表,包括整个网络目的站的列表。在更新报文中,每个路由器发送它的整个列表。当毗邻路由器收到这个更新报文,它就拷贝其中的内容,同时将信息发向它的邻站。在转发路由表内容时没有必要进行重新计算。
注意使用IGRP和EIGRP的路由器广播hello报文来发现邻站,同时像OSPF一样交换路由更新信息。EIGRP为每一种网络层协议保存一张邻站表,它包括邻站的地址、在队列中等待发送的报文的数量、从邻站接收或向邻站发送报文需要的平均时间,以及在确定链接断开之前没有从邻站收到任何报文的时间。
7、什么是自治系统?
一个自治系统就是处于一个管理机构控制之下的路由器和网络群组。它可以是一个路由器直接连接到一个LAN上,同时也连到Internet上;它可以是一个由企业骨干网互连的多个局域网。在一个自治系统中的所有路由器必须相互连接,运行相同的路由协议,同时分配同一个自治系统编号。自治系统之间的链接使用外部路由协议,例如B G P。
8、什么是BGP?
BGP(Border GatewayProtocol)是一种在自治系统之间动态交换路由信息的路由协议。一个自治系统的经典定义是在一个管理机构控制之下的一组路由器,它使用IGP和普通度量值向其他自治系统转发报文。
在BGP中使用自治系统这个术语是为了强调这样一个事实:一个自治系统的管理对于其他自治系统而言是提供一个统一的内部选路计划,它为那些通过它可以到达的网络提供了一个一致的描述。
9、BGP支持的会话种类?
BGP相邻路由器之间的会话是建立在TCP协议之上的。TCP协议提供一种可靠的传输机制,支持两种类型的会话:
o 外部BGP(EBGP):是在属于两个不同的自治系统的路由器之间的会话。这些路由器是毗邻的,共享相同的介质和子网。
o 内部BGP(IBGP):是在一个自治系统内部的路由器之间的会话。它被用来在自治系统内部协调和同步寻找路由的进程。BGP路由器可以在自治系统的任何位置,甚至中间可以相隔数个路由器。
注意"初始的数据流的内容是整个BGP路由表。但以后路由表发生变化时,路由器只传送变化的部分。BGP不需要周期性地更新整个路由表。因此,在连接已建立的期间,一个BGP发送者必须保存有当前所有同级路由器共有的整个BGP路由表。BGP路由器周期性地发送Keep Alive消息来确认连接是激活的。当发生错误或特殊情况时,路由器就发送Notification消息。当一条连接发生错误时,会产生一个 notification消息并断开连接。"-来自RFC11654、BGP操作。
10、BGP允许路由再分配吗?
允许。因为BGP主要用来在自治系统之间进行路由选择,所以它必须支持RIP、OSPF和 IGRP的路由选择表的综合,以便将它们的路由表转入一个自治系统。BGP是一个外部路由协议,因此它的操作与一个内部路由协议不同。在BGP中,只有当一条路由已经存在于IP路由表中时,才能用NETWORK命令在BGP路由表中创建一条路由。
11、如何显示在数据库中的所有BGP路由?
要显示数据库中的所有BGP路由,只需在EXEC命令行下输入:
how ip bgp paths
这个命令的输出可能是:
Address Hash Refcount MetricPath
0 x 2 9 7 A 9 C 0 2 0 i
机器故障未完待续~本文出自 51CTO.COM技术博客 |
Sxs.exe病毒处理方法
lichenjing9
博客统计信息
热门文章
最新评论
友情链接