|
ww111222
中级用户
积分 354
发帖 83
注册 2003-3-23
状态 离线
|
『楼 主』:
[求助]XCOPY 为什么有空指针错误,有截图
|
|
 2008-3-29 22:13 |
|
|
Climbing
铂金会员
网络独行侠
积分 6962
发帖 2753
注册 2003-4-16
来自 河北保定
状态 离线
|
『第
2 楼』:
在xcopy的命令行中加上/F /L参数,同时去掉后面的>nul,看一下是哪个文件导致的这个提示信息。
|
偶只喜欢回答那些标题和描述都很清晰的帖子!
如想解决问题,请认真学习“这个帖子”和“这个帖子”并努力遵守,如果可能,请告诉更多的人!
|
|
|
2008-3-30 18:23 |
|
|
ww111222
中级用户
积分 354
发帖 83
注册 2003-3-23
状态 离线
|
『第
3 楼』:
不用,就连 xcopy/? 都会有 这个提示
|
|
|
2008-3-31 00:06 |
|
|
fastslz
铂金会员
DOS一根葱
积分 5493
发帖 2315
注册 2006-5-1
来自 上海
状态 离线
|
『第
4 楼』:
什么是空指针?
具有不定值的指针会随机产生数值,不知道指向什么地方的指针,或指针指向如果超出范围,这些是很危险的,它们的不确定因素可以是程序陷入瘫痪。所以一定要定义一个空值针把这些不定因素装进去。
空指针是一个很特殊的值,它写作NULL,数值为0,将空指针赋给变量后,变量值就确定了,是不指向任何变量的指针,其它高级语言可能认为空值就是空值,不是0,0也是一个值。但是C语言会认为空值就是0,不指向任何变量的数值0。空指针的使用规则和指针变量一样。例如:*p==NULL。“==”表示等于,“=”表示赋值。
病毒文件:
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\WINLOGON.EXE
在D盘根目录下生成autorun.inf([autorun] OPEN=D:\pagefile.pif)和pagefile文件。双击打开D盘时autorun.inf指向pagefile病毒文件。
注册启动项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan Program: "C:\WINDOWS\WINLOGON.EXE"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe 1"
病毒修改了很多的关联信息,如EXE,html,scr等,列举部分如下:
HKLM\SOFTWARE\Classes\.exe\: "winfiles"
HKLM\SOFTWARE\Classes\.lnk\ShellNew\Command: "rundll32.com appwiz.cpl,NewLinkHere %1"
HKLM\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" %1"
HKLM\SOFTWARE\Classes\cplfile\shell\cplopen\command\: "rundll32.com shell32.dll,Control_RunDLL "%1",%*"
HKLM\SOFTWARE\Classes\ftp\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" %1"
HKLM\SOFTWARE\Classes\htmlfile\shell\open\command\: ""C:\Program Files\Internet Explorer\iexplore.com" -nohome"
HKLM\SOFTWARE\Classes\htmlfile\shell\opennew\command\: ""C:\Program Files\common~1\iexplore.pif" %1"
HKLM\SOFTWARE\Classes\HTTP\shell\open\command\: ""C:\Program Files\common~1\iexplore.pif" -nohome"
HKLM\SOFTWARE\Classes\InternetShortcut\shell\open\command\: "finder.com shdocvw.dll,OpenURL %l"
HKLM\SOFTWARE\Classes\scrfile\shell\install\command\: "finder.com desk.cpl,InstallScreenSaver %l"
HKLM\SOFTWARE\Classes\scriptletfile\Shell\Generate Typelib\command\: ""C:\WINDOWS\system32\finder.com" C:\WINDOWS\system32\scrobj.dll,GenerateTypeLib "%1""
HKLM\SOFTWARE\Classes\telnet\shell\open\command\: "finder.com url.dll,TelnetProtocolHandler %l"
HKLM\SOFTWARE\Clients\StartMenuInternet\: "iexplore.pif"
此外,病毒会结束大量的安全软件进程。
再说下处理方法吧,处理是比较麻烦的。注意,以下步骤顺序千万不能颠倒,中途不要打开其他任何软件,包括使用资源管理器或IE
1、首先把procexp,SREng都运行起来,打开注册表编辑器(一定要先把这些运行起来)
2、用procexp结束病毒进程WINLOGON.EXE,
3、SREng工具删除其启动项HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan Program: "C:\WINDOWS\WINLOGON.EXE"
编辑启动项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe 1",把"Explorer.exe 1"中的“1”去掉,编辑为HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: "Explorer.exe "
下面就是关键的恢复关联信息了,可以先借助SREng恢复EXE文件关联,
在注册表编辑器中:
查找: "rundll32.com" 替换为 "rundll32.exe"
查找: "iexplore.com" 替换为 "iexplore.exe"
查找: "iexplore.pif" 连同路径一起替换为 "iexplore.exe" (如:C:\Program Files\Internet Explorer\iexplore.exe)
查找: "finder.com " 替换为 "rundll32.exe"
到这里就可以先松口气了。右击D盘,右键菜单中选择打开,显示系统文件和隐藏文件后删除autorun.inf和pagefile2个文件
最后一步,删除开头提到的那些文件吧。注意千万别双击,否则前功尽弃。
如果处理时无法结束进程的话可以跳过这一步,先删除启动信息。在删除病毒文件前重启一下系统即可。
|
第一高手 第二高手
我的小站
 |
|
|
2008-3-31 07:16 |
|
|
ww111222
中级用户
积分 354
发帖 83
注册 2003-3-23
状态 离线
|
『第
5 楼』:
|
|
|
2008-4-1 01:10 |
|
|
fastslz
铂金会员
DOS一根葱
积分 5493
发帖 2315
注册 2006-5-1
来自 上海
状态 离线
|
|
|
2008-4-1 15:11 |
|
|
huahua0919
银牌会员
积分 1608
发帖 780
注册 2007-10-7
状态 离线
|
『第
7 楼』:
HKLM\SOFTWARE\Classes\.exe\: "winfiles"
请教fastslz大大,上面的这个注册表文件,在注册表中怎么表示啊(结构)??
|
|
|
2008-4-1 21:17 |
|
|
xhy999
新手上路
积分 8
发帖 4
注册 2008-4-1
状态 离线
|
|
|
2008-4-1 23:16 |
|
|
fastslz
铂金会员
DOS一根葱
积分 5493
发帖 2315
注册 2006-5-1
来自 上海
状态 离线
|
『第
9 楼』:
这个是网上找到的,我也不知道原作者怎么表示的
不过空指针病毒已经很少见了,只要打过最新的KB890830,部分常见病毒即使执行了也是按CPU无效指令退出的。
|
第一高手 第二高手
我的小站
|
|
|
2008-4-1 23:28 |
|
