这个问题是由一个叫做ghost.pif的U盘病毒导致的
关于原分析见:简要分析解决Ghost.pif病毒/page/e2007/0618/26690.html
不过最新变种的病毒会查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败。
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe
因为这些安全软件运行时候会加载ws2_32.dll ws2_32.dll正确的位置是在system32下面 而软件通常寻找dll的方法是首先从自己的文件夹中寻找 那么病毒通过在这些软件的文件夹里创建一个伪造的ws2_32.dll从而导致软件启动时加载这个伪造的ws2_32.dll 导致启动失败!
解决方法如下:
1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng (可到down.45it.com下载)
启动项目 注册表 删除如下项目
<{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation]
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
右键点击 右键菜单中的打开 打开C盘
删除
C:\Program Files\Internet Explorer\romdrivers.bak
C:\Program Files\Internet Explorer\romdrivers.bkk
C:\Program Files\Internet Explorer\romdrivers.dll
2.清空C:\DOCUME~1\用户名\LOCALS~1\Temp下面所有内容
3.右键点击 右键菜单中的打开 打开其他分区 删除autorun.inf和ghost.pif
打开sreng
启动项目 注册表 删除如下项目
<wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe> []
<ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe> []
<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> []
<fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe> []
<jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe> []
<wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe> []
<wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe> []
<rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe> []
<wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe> []
<tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe> []
<dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe> []
<wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe> []
<qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe> [] (有哪个删哪个)
4.删除 瑞星杀毒软件 金山毒霸 江民杀毒软件 卡巴斯基杀毒软件 360安全卫士 等文件夹下名为ws2_32.dll的文件夹
