注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

......秘密花园......

★本色从这里开始,颠覆从这里起步★

 
 
 

日志

 
 
关于我

随着岁月的变迁,人,一天天张大,被迫社会化,被迫保护自己,被迫在危险的现实中学习生存法则.于是慢慢的,靠近了世界,也终于离真正的乐园,越来越远!........

网易考拉推荐

当comres.dll是一个病毒  

2009-10-25 20:14:44|  分类: 留香玫瑰 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

是猫藓病毒

在c盘下的windows-----systems32文件夹下

直接用杀毒软件杀不掉

你可以

1:从别人电脑中复制此目录下的comres.dll至你的电脑

从而代替病毒冒充的comres.dll

2:直接找到comres.dll并重命名[我是病毒.dll]

此时系统会自动出现原来的comres.dll

然后用杀毒软件查杀[我是病毒.dll]就可以了

我用的是第二个方法,很好用。

1、comres.dll是什么

  comres.dll是Windows操作系统的COM Services服务所用到的一个系统文件,但是有的病毒会替换它。

copyright:235393A1-BA4B-47D8-935E-BD08D14C6315

  comres.dll的文件路径: c:\windows\system32\comres.dll (假设你的windows安装目录为c:\windows);

  同时在dllcache目录有一个备份:c:\windows\system32\dllcache\comres.dll

  

  文件大小: 846,848 字节或615,936 字节(根据你系统版本的不同,文件大小也不尽相同,但如果达到几M或者只有几十字节,则一定是冒牌货)

  十个最好的免费杀毒软件下载:http://blog.yiyidu.com/2009_1093.html

  最新出现的某些病毒,如“猫癣”,会下载一个盗号木马,此木马变种会替换系统文件comres.dll,利用Eventlog系统服务启动自身,comres.dll被替换掉。造成很多应用软件无法运行,如QQ、flashget。

  

2、comres.dll被替换后的症状、迹象和危害

  2.1、开机速度变慢,不能进行复制粘帖操作,任务栏不显示图标;

  2.2、QQ等软件提示“没有找到COMRes.dll,因此这个应用程序未能启动。重新安装应用程序可能会修复此问题。”;

  2.3、假冒的comres.dll会尝试盗取地下城与勇士、梦幻西游等流行网络游戏的账号及其密码,造成受害者的游戏金币、豪华装备、道具虚拟财产损失。

  

3、comres.dll被更改的解决办法

  首选必须杀毒,否则即使修复也会复发。

  可以使用金山系统急救箱完成清除,金山毒霸的最新病毒特征库也能查杀comres.dll,升级毒霸就能防御该变种。

  杀完毒之后,到C:\WINDOWS\system32\dllcache目录下找到这个文件的备份,拷贝到c:\windows\system32文件夹下面,运行regsvr32 comres.dll注册该文件即可。如显示“已加载 comres.dll,但没有找到 DllRegisterServer 输入点。无法注册这个文件。”则不用担心,文件已经加载,不用注册了。

  (如果找不到dllcache等文件夹,请打开我的电脑,点击工具-文件夹选项-查看-勾选“显示系统文件夹的内容”,“显示所有文件和文件夹”,取消选择“隐藏受保护的操作系统文件”。)

  (windows xp下面,删除c:\windows\system32\comres.dll后,windows会自动复制C:\WINDOWS\system32\dllcache\comres.dll到c:\windows\system32\comres.dll,不需要手工复制。

  如果这两个地方的comres.dll完全一样,必须把它们两个都删除,然后再拷贝一个正常的comres.dll过去。

  你可以运行cmd打开命令行窗口,输入fc c:\windows\system32\comres.dll C:\WINDOWS\system32\dllcache\comres.dll回车,如果两个文件一样,则显示“找不到相异处”。)

  

4、ComRes.dll文件下载

  如果你的系统是Windows XP SP3简体中文专业版,

  如果你C:\WINDOWS\system32\dllcache下面的comres.dll也被感染了,可以到网上下载一个comres.dll,如:http://www.dll-files.com/dllindex/dll-files.shtml?comres

  点击绿色箭头旁的Click here to go to the download of comres.dll链接下载。

  如果没有被感染,直接删除c:\windows\system32\comres.dll即可,如果windows没有自动复制comres.dll备份过去,可手工复制修复。

  我的系统是Windows XP专业版(SP3),这是我上传的comres.dll的压缩包,点击下载。使用WinRar或高版本的WinZip解压即可。

  这个comres.dll可能只适用于xp中文版系统,对其它系统如Vista未必适用,请找一个跟你系统一样的机器,复制comres.dll。

  如果你的系统是Windows 2000、Windows 2003、Vista、Windows XP SP1、Windows XP SP2等等,则以上提供的下载未必适用。

  

5、comres.dll无法删除或覆盖怎么办?

  如果你尝试删除或替换comres.dll文件时出错,弹出这样的提示:

  删除文件或文件夹时出错

  —————————

  无法删除comres.dll: 访问被拒绝。

  请确定磁盘未满或未被写保护

  而且文件未被使用。

  那么是因为ComRes.dll正在被某软件使用,需要先关闭该软件,或者使用unlocker之类的软件强行解除锁定,再替换。具体方法见3楼我的回复(PageDown翻页浏览)。

  

  

6、如何防止类似木马再次替换windows系统文件

  首先要有安全意识,使用百度或google搜索东西时,不要看到结果就点,很多网站都有木马的,如wxiu.com,只要你点了它网页就会自动下载并安装木马。你可以使用http://blog.yiyidu.com/2009_1094.html一文的方法,屏蔽wxiu.com等挂马网站。

  那么如何辨别一个网站是不是挂马网站呢?容我下次再说,今天太晚了要睡觉了:(

  

  

7、comres.dll被病毒替换暴露Windows设计缺陷

  由于我的机器安全措施做得还行,comres.dll没有被病毒替换,为了体验comres.dll被冒充之后的情况,我用unlocker解锁并删除了C:\WINDOWS\system32下面的comres.dll文件,删除之后我发现Windows立刻从C:\WINDOWS\system32\dllcache目录复制了一个comres.dll到C:\WINDOWS\system32。

  于是我把这两个地方的comres.dll全删了,Windows立刻就傻了,提示我:【正常运行 Windows 所需的文件已被替换成无法识别的版本。要保持系统的稳定,Windows 必须还原这些文件的原有版本。现在插入您的 Windows XP Professional Service Pack 3 CD。】

  我于是把另一个不相干的dll文件重命名为comres.dll,并复制到dllcache目录,Windows又立刻自动把它拷到了system32下面,没有弹出任何文件不正确的警告。接着我打开QQ,QQ说【QQ.exe - 无法找到入口 :

无法定位程序输入点 COMResModuleInstance 于动态链接库 COMRes.dll 上。 】,

  结论:Windows系统文件被病毒替换之后,Windows不会察觉其发生的变化,但是如果文件丢了,就会立刻察觉。

  

 

  评论这张
 
阅读(31)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017