文件全能王1.9:每次开机都有这个~~

来源:百度文库 编辑:高考问答 时间:2024/04/29 20:07:04
我每次开机几分钟后就会有一个

16位MS-DOS子系统
temp.exe
NTVDM CPU 遇到无效的指令.
CS:0dc9 IP:0115 OP:63 64 6e 2e 73

这样的窗口条出来.....在这请教大虾们能解决这个问题吗~~~
谢谢这位大虾~~~
我忙了说这是在拨号上网之后出现的问题~~~
我用卡巴也查不到病毒~~

以下是我从网上搜的得,希望对你有帮助:
第一种:
开始运行msconfig,启动项里取消temp.exe
任务管理器中结束temp.exe
查找temp.exe删除
杀毒杀木马
——————————————————————————————————————————————————
第二种:
相关文件:
%temp%\temp.exe
%temp%\delex.dll
%temp%\DeskMedia~1.exe

%temp%\temp.exe是一个下载器,并会释放一个用来删除文件的dll文件%temp%\delex.dll,%temp%\temp.exe运行后尝试从[url]http://dmdlup.dmcast.com[/url]下载文件setup.exe([url]http://dmdlup.dmcast.com/setup.exe[/url]),下载后保存为%temp%\DeskMedia~1.exe,之后再调用rundll32.exe执行%temp%\delex.dll删除%temp%\temp.exe和%temp%\delex.dll。

%temp%\DeskMedia~1.exe是Desktop Media(DM)桌面传媒软件的安装程序,官方网站是[url]http://www.dmcast.com[/url],从网站上的介绍来看它是一个广告推广软件,能把广告信息直接显示在安装者(客户端)的桌面上(比如弹出窗口),可以算是“广告程序”了吧,更多的就不说了,想了解更多Desktop Media的内容可以访问其官方网站[url]http://www.dmcast.com[/url]。

%temp%\temp.exe可能是Desktop Media下载的升级程序,也可能是其它软件下载的,这个问题目前还不太清楚,相信再经过一番探索或许就能明白其中缘由了。现在既然还不清楚%temp%\temp.exe是怎么来的,我们就先不讨论它,说一下Desktop Media吧。

Desktop Media默认安装到%ProgramFiles%\Desktop Media\Cast\目录下,并建立一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmastu"="rundll32.exe %ProgramFiles%\Desktop Media\Cast\dmipn.dll,Always"
查看dmipn.dll文件后发现可用此命令将其从进程中卸载:

rundll32.exe %ProgramFiles%\Desktop Media\Cast\dmipn.dll,DM_Uninstall

Desktop Media下载的广告信息存放在%ALLUSERSPROFILE%\Application Data\Desktop Media\Cast\dmclient\目录。
要卸载它不难,可直接运行%ProgramFiles%\Desktop Media\Cast\Uninstall.exe,卸载完成后再手动删除掉%ProgramFiles%\Desktop Media\Cast\和%ALLUSERSPROFILE%\Application Data\Desktop Media\目录,删除注册表中残留的信息:
HKEY_CURRENT_USER\Software\Desktop Media
HKEY_LOCAL_MACHINE\SOFTWARE\Desktop Media
HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware

Desktop Media建立的主要注册表信息:
[HKEY_LOCAL_MACHINE\SOFTWARE\Desktop Media]

[HKEY_LOCAL_MACHINE\SOFTWARE\Desktop Media\Cast]
"autoupdatetime"=dword:00000000
"dldir"=""
"path"="%ProgramFiles%\Desktop Media\Cast\" //安装目录
"vendor"=""
"ver"="1.0.0.14" //版本信息

[HKEY_LOCAL_MACHINE\SOFTWARE\Desktop Media\Cast\dmclient]
"lastupdate"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\dmshareware]
"Owner"="dmclient"

[HKEY_CURRENT_USER\Software\Desktop Media]

[HKEY_CURRENT_USER\Software\Desktop Media\Cast]

[HKEY_CURRENT_USER\Software\Desktop Media\Cast\dmclient]
"start_up"="23/05/2005" //运行日期,安装日两星期后

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dmastu"="rundll32.exe %ProgramFiles%\Desktop Media\Cast\dmipn.dll,Always"

这个问题差不多说完了,最后再提一下关键问题%temp%\temp.exe,它究竟是怎么来的?和DuDu有关吗?
目前我们还不能确定是否就是DuDu加速器背地里下载了temp.exe,不过有一点可以肯定,那就是DuDu加速器和Desktop Media关系不一般,不知道大家发现没有,Desktop Media(DM)桌面传媒软件和DuDu加速器都是千橡公司的东西……

遇到此问题的用户可以先尝试卸载Desktop Media,卸载就是运行%ProgramFiles%\Desktop Media\Cast\Uninstall.exe,具体见上文所述,卸载干净后观察%temp%\temp.exe是否还会出现,如果还是会出现,那就不妨卸载掉DuDu试试看,卸载了DuDu再继续观察是否还会有%temp%\temp.exe出现?!这个问题可以说比较关键。

DuDu加速器运行"%ProgramFiles%\DuDu\DddClient\DuDuAcc.exe" /m7,通过检查[HKEY_LOCAL_MACHINE\SOFTWARE\Dudu\DddClient]下"autoupdatetime"记录的时间,判断是否进行更新。
如果"autoupdatetime"不存在或时间较早,DuDu就向[url]http://dddup.dudu.com/update/update.asp[/url]发出请求,然后转向[url]http://dmdlup.dmcast.com[/url](61.183.15.161)下载temp.exe文件,下载过程中文件名是temp.exe.dd!(dd!文件是DDD下载临时文件)。

下载完成后DuDuAcc.exe运行temp.exe,命令是:%temp%\temp.exe /s /v/qn
接下去就是temp.exe下载DeskMedia~1.exe了……

可以把"autoupdatetime"删除或把值改小,运行"%ProgramFiles%\DuDu\DddClient\DuDuAcc.exe" /m7,DuDu就会下载temp.exe,temp.exe就是这么来的。

解决问题

解决问题从"autoupdatetime"下手,把它的值改大一些就行,比如在它原来7位数字前加上一位,这样在未来一段很长很长很长的时间内应该都不会下载temp.exe了。

这里也要注意,数字也不能改得太大,经过试验发现[HKEY_LOCAL_MACHINE\SOFTWARE\Dudu\DddClient]下"autoupdatetime"值最大为7ffffd2f(十六进制,十进制是2147482927),大家可以把它改为这个数值。

Desktop Media,不需要的话可以卸载:(建议卸载)
1. 运行%ProgramFiles%\Desktop Media\Cast\Uninstall.exe进行卸载
2. 卸载完成后删除%ProgramFiles%\Desktop Media\目录
3. 到注册表编辑器里删除残留的注册项[HKEY_CURRENT_USER\Software\Desktop Media]

对DuDu加速器深恶痛绝的,可以卸载DuDu,想要继续使用DuDu但不愿意下载temp.exe受它困扰的可以把[HKEY_LOCAL_MACHINE\SOFTWARE\Dudu\DddClient]下"autoupdatetime"值改为7ffffd2f(十六进制)。
——————————————————————————————————————
第三种:
1. 启动注册表编辑器(Regedt32.exe 或 Regedit.exe)。

注意:在 Windows XP 中,Regedit.exe 和 Regedt32.exe 已集成到单个程序中,该程序结合了 Windows 2000 中这两个注册表编辑器的功能。
2. 找到并选择以下值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers\VDD
3. 在编辑菜单上,单击删除。
4. 在编辑菜单上,指向新建,然后单击多字符串值。
5. 在值名称框中键入 VDD,然后按 Enter 键。
6. 退出注册表编辑器。
如果继续出现此问题,请验证计算机的系统根目录/System32 文件夹中已安装正确版本的 Command.com 文件。去试试看。
————————————————————————————————————
第四种:
1、这是16位模式程序运行出错造成的提示。由于Windows XP默认情况下不应该存在internet.exe这个文件,因此你的电脑可能被病毒所感染,建议使用最新版本的杀毒软件检查。
2、查找LIVE.EXE文件,删除之,同时清除启动项和注册表的LIVE,也有可能叫LIVEUP
3、你中了Trojan.Liveup病毒了,这个病毒的表现是驻留内存,监听udp1030端口,下载http: //***.2bro.com/down/的文件到本地为liveup.exe,并运行。

这个证明你的系统中存在一个自启动的程序。要处理可以下载一个第三方软件

每次开机都有这个~~ 每次开机都有这个~~系统命令 为什么我每次开机都出现这个? 为什么每次开机都出现这个画面??? 为什么每次开机都出现这个对话框 我每次开机都出现这个 为什么每次开机都有wjnuoho这个东西跑出来咯? 每次开机都有这个病毒Trojan.Spy.Agent.xv,怎么杀啊? 每次开机都有好几个roundll32进程,但是又找不到roundll32.exe这个文件,怎么回事? 为什么每次开机都有响声?