找回密码
 注册账号

QQ登录

只需一步,快速开始

手机号码,快捷登录

手机号码,快捷登录

初学者课程:T3自学|T6自学|U8自学软件下载课件下载工具下载资料:通资料|U8资料|NC|培训|年结积分规则 | 使用常见问题Q&A
知识库:U8 | | NC | U9 | OA | 政务U8|U9|NCC|NC65|NC65客开|NCC客开新手必读 | 任务 | 快速增金币用友QQ群[微信群]
查看: 11584|回复: 30

[经验] 用友与鬼影病毒

   火.. [复制链接]
  • 打卡等级:偶尔看看
  • 打卡总天数:34
  • 打卡月天数:24
  • 打卡总奖励:87
  • 最近打卡:2024-11-28 08:16:34
发表于 2010-8-26 16:30:39 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册账号

×
本帖最后由 37724861 于 2010-8-26 16:36 编辑

昨天一客户打电话,说软件无法登陆。
上门查看现象如下:
用友服务无法启动,双击启动,报错:本地计算机上的用友通服务启动后又停止了。一些服务自动停止,如果它们没有什么可做的,例如性能和日志警报服务。(真TMD经典的报错!)
顺手看了一下uf2000.log,其中写着:
得到连接串时不能创建ADO连接对象,可能是ADO安装不正确
客户电脑环境:
OS:WinXP SP2
数据库:SQL 2000SP4 个人版
软件:用友T3-财务通普及版
解决过程:
一、先用常规解决思路:
1、删除HKEY_LOCAL_MACHINE\SOFTWARE\UFSOFT\UF2000\2.0\SetUp下的SetUp键值
2、双击系统管理,重新建库,选择不覆盖。
如果此时可以登录,则问题解决。
可这次貌似问题比较牛X,通过此办法,还是无法登陆,报错依旧。
二、使用杀手锏招数:
本着先重装软件,不行再重装数据库+软件,再不行重装系统+数据库+软件的思路(具体过程略)
很遗憾,还是那个强悍的报错。
三、思考:
重装系统都不行,难道是其他分区有毒或者是遇到牛X的病毒(就像当年的CIH)?
于是乎,装了个LM360急救箱(抱歉,本人对360一直没什么好感)扫描一下,结果如下
bingdu1.JPG
百度了一下关键字Trojan.Win32.thsys 结果如下:
bingdu.JPG
百度百科的鬼影病毒介绍:http://baike.baidu.com/view/3360044.htm
鬼影病毒分析报告:http://tech.ccidnet.com/art/1099/20100319/2016515_1.html
四、最后的解决办法:
查阅相关资料后,备份一下分区表,决定先在DOS下使用Fdisk /mbr 试试,结果不行,后来查阅资料,这方法对变种不管用。
呃,看来只能痛下狠心了,备份好客户的资料,然后DM,重新分区,格式化、安装系统、数据库、和软件
装完这些东西之后软件可以正常登陆,做一个Ghost吧。折腾了一天!

这牛X的病毒咋就让我遇到了,不知道坛子里有其他人遇到过没,希望能有更好的解决办法!

评分

参与人数 1威望 +10 金币 +30 魅力 +10 收起 理由
销魂 + 10 + 30 + 10 感谢分享!不错不错!

查看全部评分

发表于 2010-8-26 16:39:50 | 显示全部楼层
O(∩_∩)O谢谢你分享经验
发表于 2010-8-26 17:33:51 | 显示全部楼层
楼主看来是遇到百年不遇的病毒 了,不过鬼影不是只和操作系统有关,和你软件怎么会有关系呢?
发表于 2010-8-26 18:24:16 | 显示全部楼层
本帖最后由 销魂 于 2010-8-26 18:25 编辑

重装系统无效??不可能啊!难道不是注入C盘的啊
  • 打卡等级:偶尔看看
  • 打卡总天数:34
  • 打卡月天数:24
  • 打卡总奖励:87
  • 最近打卡:2024-11-28 08:16:34
 楼主| 发表于 2010-8-26 23:38:04 | 显示全部楼层
注入C就好多了,直接注入引导区,病毒启动优先于系统启动,你看一下那篇鬼影病毒分析报告:http://tech.ccidnet.com/art/1099/20100319/2016515_1.html
就知道它的原理了
发表于 2010-8-27 08:22:53 | 显示全部楼层
谢谢你分享经验
发表于 2010-8-27 09:00:55 | 显示全部楼层
谢谢你分享经验
发表于 2010-8-27 09:04:46 | 显示全部楼层
谢谢分享,我也是做技术的,希望别遇上。
发表于 2010-8-27 09:22:32 | 显示全部楼层
下次遇到这种情况我就直接格式话重装了。
发表于 2010-8-27 09:26:58 | 显示全部楼层
格式化没用,要重写MBR,看来你还是没明白这个道理
发表于 2010-8-27 09:36:54 | 显示全部楼层
前天晚上安装GLOVD播放器时,中了个病毒:修改IE执行文件为“Internet Explorer.ie”,而且桌面,启动栏,程序栏都多了个“地瓜小游戏.ur1”。文件大小为0KB,无法删除,杀毒也无发现。新建系统用户,切换用户后也无法清除原用户下的文件。启动栏在XP下无内容,msconfig也正常。郁闷了,快格C盘重装了。后来切换到“安全模式”下,发现启动中多了个AR.117,清除后,再删除所有“Internet Explorer.ie”、“地瓜小游戏.ur1”,然后再启动回正常系统,正常。目前,没发现什么问题;现在不知道是否与“鬼影病毒”有关。
发表于 2010-8-27 09:49:02 | 显示全部楼层
这个问题我也碰到过。重装系统N便了。不知道是不是鬼影。重装系统后一两天能用 。过几天就用不了
  • 打卡等级:无名新人
  • 打卡总天数:1
  • 打卡月天数:0
  • 打卡总奖励:3
  • 最近打卡:2024-10-15 13:48:57
发表于 2010-8-27 10:07:35 | 显示全部楼层
我也遇到了,谢谢LZ的帖子!
发表于 2010-8-30 09:49:47 | 显示全部楼层
上次我也是这个问题 估计客户的机子也是有病毒 没给客户杀毒   我估计这个装不上 是系统某个文件坏了还是什么原因

只好重做系统了
发表于 2010-8-30 17:14:41 | 显示全部楼层
期望不要遇到这病毒,不过LZ的方法学习了!
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

QQ|站长微信|Archiver|手机版|小黑屋|用友之家 ( 蜀ICP备07505338号|51072502110008 )

GMT+8, 2024-11-28 14:43 , Processed in 0.121506 second(s), 19 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表