如何通过注册表查看U盘使用记录,要能看到U盘品牌和使用时间,不用软件的方式 系统日志 在哪里看 看什么
Trojan.Win32 病毒名称:Trojan.win32.
中 文 名:冲击波
病毒长度:可变
病毒类型:木马
危害等级:★
影响平台:Win 9X/NT/WIN95/XP/WIN98
Trojan.win32.DWSchanger.iy 修改注册表,实现开机自启。在每个文件夹下生成desktop_.ini文件,文件里标记着病毒发作日期。删除扩展名为gho的文件,使用户无法使用ghost软件恢复操作系统。感染系统的*.exe、*.com、*.pif、*.src、*.html、*.asp文件,添加病毒网址,导致用户一打开这些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。在硬盘各个分区下生成文件autorun.inf和setup.exe,因此“木马”可以通过U盘和移动硬盘等方式进行传播,并且利用Windows系统的自动播放功能来运行。搜索硬盘中的*.EXE可执行文件并感染,感染后的文件图标会死机。
解决方案
首先是拔下网线,以免病毒升级和变种传输
使用PE系统启动删除所有盘符下的病毒文件如autorun.inf
使用PE远程注册表查看启动文件并删除
启动后使用sreng2删除掉多余的启动项和程序
查找出启动的程序和文件删除如果无法删除请使用xdelbox
从别的电脑下载drweb-cureit到本机查杀,进行C盘查杀
查杀完成请安装drweb专业版升级最新并全盘扫描
-----------------------------------
注意请关闭系统还原
删除WINDOWS下的TEMP文件
删除IE临时文件
删除C:\Documents and Settings\用户名\Local Settings下的临时文件
删除不掉的文件请使用xdelbox
如何读取Windows系统事件日志
根据开机事件的EventID为6005,关机事件的EventID为6006;来读出相应的时间。
(1) 读取事件日志
#include string
#include stdio.h
#include time.h
#include windows.h
using namespace std;
int ReadSystemEventLog(const char *Src, string Result, FILE * pFile)
{
DWORD read_len, next_len;
char Buffer[256], Data[4096], *pchar;
HANDLE Handle = OpenEventLog(NULL, Src);
if (Handle==NULL)
{
CloseHandle(Handle);
return -1;
}
while(ReadEventLog(Handle, EVENTLOG_FORWARDS_READ | EVENTLOG_SEQUENTIAL_READ,1, (EVENTLOGRECORD*)Data, sizeof(Data), read_len, next_len))
{
for(short i=0; iread_len;)
{
printf("%d/n",read_len);
EVENTLOGRECORD *ptr = (EVENTLOGRECORD*)(Data+i);
switch(ptr-EventType) //事件类型
{
case EVENTLOG_SUCCESS:
pchar= "成功";
break;
case EVENTLOG_ERROR_TYPE:
pchar= "错误";
break;
case EVENTLOG_WARNING_TYPE:
pchar= "警告";
break;
case EVENTLOG_INFORMATION_TYPE:
pchar= "信息";
break;
case EVENTLOG_AUDIT_SUCCESS:
pchar= "审计成功";
break;
case EVENTLOG_AUDIT_FAILURE:
pchar= "审计失败";
break;
default:
continue;
}
sprintf(Buffer, "事件/t%u/n", (short)ptr-EventID); //事件ID
Result += Buffer;
sprintf(Buffer, "类型/t%s/n", pchar);
Result += Buffer;
tm *ptm = localtime((const long *)ptr-TimeWritten);
sprintf(Buffer, "时间/t%.4hd-%.2hd-%.2hd %.2hd:%.2hd:%.2hd/n",
ptm-tm_year+1900, ptm-tm_mon+1, ptm-tm_mday,
ptm-tm_hour, ptm-tm_min, ptm-tm_sec);
Result += Buffer;
pchar = Data + sizeof(EVENTLOGRECORD); //pchar指向SourceName[]
sprintf(Buffer, "来源/t%s/n", pchar); //事件来源
Result += Buffer;
pchar += strlen(pchar) + 1; //pchar指向ComputerName[]
sprintf(Buffer, "计算机/t%s/n", pchar); //机器名
Result += Buffer;
pchar += strlen(pchar) + 1;// pchar指向UserSid
if(ptr-UserSidLength0)
{
char Name[64];
DWORD Length = sizeof(SID), Length1 = sizeof(Buffer);
SID_NAME_USE Type = SidTypeUser;
SID *sid = (SID *)(Data + ptr-UserSidOffset);
if(LookupAccountSid(NULL, sid, Name, Length, Buffer, Length1, Type)) //查找用户名
sprintf(Buffer, "用户/t%s/n", Name); //用户名
Result+=Buffer;
}
if(ptr-DataOffset ptr-StringOffset) //获取事件描述
{
Result += "[描述]/n";
pchar = Data + i + ptr-StringOffset;
for(short j = 0; j ptr-NumStrings; j++)
{
Result += pchar;
if(j ptr-NumStrings-1)
Result += ' ';
pchar += strlen(pchar) + 1;
}
Result += '/n';
// Result+="[数据]/n";
}
Result+='/n';
i+=ptr-Length;
}
}
fwrite(Result.c_str(),Result.length(),1,pFile);
CloseEventLog(Handle);
return 0;
}
void main()
{
string result;
FILE *pFile;
pFile=fopen("EventLog.txt","w");
if(pFile==NULL)
return;
ReadSystemEventLog("System",result,pFile); //读取System事件日志
fclose(pFile);
}
(2) 读取事件日志
#include stdio.h
#include windows.h
#define BUFFER_SIZE 4096
void DisplayEntries( )
{
FILE *pFile=fopen("log.txt","w");
char *tempBuf=new char[100];
memset(tempBuf,0,100);
HANDLE h;
EVENTLOGRECORD *pevlr;
BYTE bBuffer[BUFFER_SIZE];
DWORD dwRead, dwNeeded, dwThisRecord;
// Open the Application event log.
h = OpenEventLog( NULL, // use local computer
"System"); // source name
if (h == NULL)
{
printf("Could not open the Application event log.");
return ;
}
pevlr = (EVENTLOGRECORD *) bBuffer;
// Get the record number of the oldest event log record.
GetOldestEventLogRecord(h, dwThisRecord);
// Opening the event log positions the file pointer for this handle at the beginning of the log. //Read the event log records sequentially until the last record has been read.
while (ReadEventLog(h, // event log handle
EVENTLOG_FORWARDS_READ | // reads forward
EVENTLOG_SEQUENTIAL_READ, // sequential read
1, // ignored for sequential reads
pevlr, // pointer to buffer
BUFFER_SIZE, // size of buffer
dwRead, // number of bytes read
dwNeeded)) // bytes in next record
{
while (dwRead 0)
{
// Print the record number, event identifier, type, and source name.
printf("%02d Event ID: 事件/t%u ", dwThisRecord++, (short)pevlr-EventID);
sprintf(tempBuf,"%u/n",(DWORD)pevlr-EventID);
fwrite(tempBuf,strlen(tempBuf),1,pFile);
sprintf(tempBuf, "事件/t%u/n", (short)pevlr-EventID); //事件ID
fwrite(tempBuf,strlen(tempBuf),1,pFile);
printf("EventType: %d Source: %s/n",
pevlr-EventType, (LPSTR) ((LPBYTE) pevlr +
sizeof(EVENTLOGRECORD)));
dwRead -= pevlr-Length;
pevlr = (EVENTLOGRECORD *)
((LPBYTE) pevlr + pevlr-Length);
pe下怎么样清除系统日志
1."控制面板"中进入"管理工具",再双击里面的"事件查看器"。然后选择打开我们需要清除的日志文件,比如用户想清除安全日志,可以右键点击"安全性"选项,在弹出的菜单中选择"属性"命令。接下来在弹出的对话框中,点击下面"清除日志"按钮就可以清除了。
2.如果用户想要清除自己系统中的日志文件,首先需要用管理员账号登录Windows系统,接着在"控制面板"中进入"管理工具",再双击里面的"事件查看器"。然后选择打开我们需要清除的日志文件,比如用户想清除安全日志,可以右键点击"安全性"选项,在弹出的菜单中选择"属性"命令。接下来在弹出的对话框中,点击下面"清除日志"按钮就可以清除了。
刚刚介绍了对于本地的日志文件的清除,但是如果是一名黑客,入侵系统成功后第一件事便是清除日志。黑客会使用两个办法来清除远程计算机上的日志文件。其中一是自己编写批处理文件来解决,编写一个能清除日志的批处理非常简单:
@del c:\winnt\system32\logfiles\*.*
@del c:\winnt\system32\config\*.evt
@del c:\winnt\system32\dtclog\*.*
@del c:\winnt\system32\*.log
@del c:\winnt\system32\*.txt
@del c:\winnt*.txt
@del c:\winnt*.log
@del c:\dellog.bat
把上面的内容保存为dellog.bat备用。接着通过IPC共享连接到远程计算机上,将这个批处理文件上传到远程计算机系统并执行,即可清除肉鸡上的日志文件。
另外,清除日志文件还可以借助第三方软件,比如小榕的elsave.exe就是一款可以清除远程以及本地系统中系统日志、应用程序日志、安全日志的软件。elsave.exe使用起来很简单,首先还是利用管理员账号建立IPC连接,接着在命令行下执行清除命令,这样就可以删除这些系统中的网络日志文件。
如果用PE的话,清除如下目录即可:
c:\winnt\system32\logfiles\*.*
c:\winnt\system32\config\*.evt
c:\winnt\system32\dtclog\*.*
c:\winnt\system32\*.log
c:\winnt\system32\*.txt
c:\winnt*.txt
c:\winnt*.log
c:\dellog.bat
电脑蓝屏代码0×000000ed(0×8383F900 0×c0000006 0×00000000 0×00000000)
以下内容为百度知道操作系统分类管理员Ctangel个人,并非网络复制,全是个人日常工作中遇到并且明确确定原因的。如需复制请注明出处。
这里列举几个典型的蓝屏故障的原因和解决办法。
一、0X0000000A
这个蓝屏代码和硬件无关,是驱动和软件有冲突造成的,最早发现这个代码是因为公司的DELL机器的USB键盘和QQ2007的键盘加密程序有冲突发现的这个问题。也在IBM T系列笔记本上装驱动失误产生过。
如果您的机器蓝屏了,而且每次都是这个代码请想一想最近是不是更新了什么软件或者什么驱动了,把它卸载再看一下。一般情况下就能够解决,如果实在想不起来,又非常频繁的话,那么没办法,重新做系统吧。
二、0X0000007B
这个代码和硬盘有关系,不过不用害怕,不是有坏道了,是设置问题或者病毒造成的硬盘引导分区错误。
如果您在用原版系统盘安装系统的时候出这个问题,那说明您的机器配置还是比较新的,作为老的系统盘,不认这么新的硬盘接口,所以得进BIOS把硬盘模式改成IDE兼容模式。当然了,现在人们都用ghost版的操作系统,比较新的ghost盘是不存在这个问题的。
如果您的操作系统使用了一段时间了,突然有一天出现这个问题了,那么对不起,病毒造成的,开机按F8,选择最后一次正确的配置,恢复不到正常模式的话那么请重新做系统吧。
三、0X000000ED
这个故障和硬盘有关系,系统概率比较大,硬盘真坏的概率比较小。我弄过不下二十个这个代码的蓝屏机器了,其中只有一个是硬盘真的有坏道了。剩下的都是卷出了问题,修复即可,这也是为数不多的可以修复的蓝屏代码之一。
修复方法是找原版的系统安装盘(或者金手指V6那个pe启动界面里就带控制台修复)。这里说用系统盘的方法,把系统盘放入光驱,启动到安装界面,选择按R进入控制台修复,进入控制台后会出现提示符C:\ 大家在这里输入 chkdsk -r 然后它就会自动检测并修复问题了,修复完成之后重新启动计算机就可以进入系统了,进入系统之后最好先杀毒,然后再重新启动一下试一下,如果正常了那就没问题了,如果还出这个代码,那就说明硬盘有问题了,需要更换,或者把有问题的地方单独分区,做成隐藏分区,用后面的空间来装系统。
四、0X0000007E、0X0000008E
这俩代码多是病毒造成的,杀毒即可。正常模式进不去可以开机按F8进安全模式。当然也有可能是内存造成的,可以尝试重新插拔内存,一般这代码内存损坏概率不大。
五、0X00000050
硬件故障,硬盘的可能性很大。如果每次都出这一个代码,首先换一块硬盘试一下机器能不能正常启动,如果测试硬盘没问题,再试内存,内存也试过的话,换CPU,总之这必是硬件故障。
六、coooo21a
C开头的故障,它报的错很邪乎,报未知硬件故障,不过出这类C开头的代码多半与硬件无关。基本是与系统同时启动的一些驱动!或者服务的问题,举一个例子,一次我给一个笔记本的F盘改成了E盘,结果再启动就出这类C开头的代码,最后发现插上一个U盘就能正常启动,因为插上U盘系统里就有F盘了,然后我发现了隐藏的文件,是开机的时候系统写入的。我拔掉这个U盘这问题就又出现,后来把E盘改回F问题就没有了,想来是什么和系统一起启动的软件留在F盘一些文件,没有了它就会自己建,但是连F盘都没有了,也就只能报错了,所以看到这类蓝屏可以照比。
七、每次蓝屏的代码都不一样
这样的问题,基本上是硬件造成的,尤其以内存为第一个需要怀疑的对象,更换内存尝试,第二可能性是CPU虽然这东西不爱坏,可是从06年到现在我也遇到俩了,其他硬件基本上不会造成蓝屏代码随便变的情况。
八、偶尔蓝屏,而且代码一闪而过重新启动的问题
这个是有有两种可能
1、以XP为例,在我的电脑上点击鼠标右键选择属性,找到高级选项卡,找到下面的启动和故障修复项,点击设置。再弹出的窗口里找到中间‘系统失败’处有三个选项,第三项自动重新启动,把这项的勾选取消掉,以后再出问题蓝屏就会停住了。
2、已经做过上面的设置,但是还是会一闪而过重新启动的,那就是显卡或者CPU过热造成的,打开机箱查看散热风扇和散热器的状态吧。
另外开机就蓝屏看不见代码一闪而过然后自己重新启动的情况。这个时候已经不可能在系统里进行第一步的设置了,那么就要在机器启动的时候按F8,选择启动失败后禁用重新启动这项,选择之后启动失败了,系统就会停在蓝屏代码那里了,这样大家就可以照着蓝屏代码来查看问题了。
九、其他蓝屏代码
参考第七项,一般首先做系统确认是不是系统的问题,然后以以下顺序测试硬件,首先是内存可能性最大,然后是CPU,之后是硬盘,最后是显卡,主板基本不会蓝屏。
联想开机显示to interrupt nomorl,press Eeter.后出现蓝屏,一直重新启动,前天刚装的系统,这是怎么回事
你好
蓝屏这种情况,一般都是由 系统软件、内存、引起的。
1 电脑不心装上了恶意软件,或上网时产生了恶意程序,建议用360 卫士 、金山卫士等软件,清理垃圾,查杀恶意软件,完成后重启电脑,就可能解决。实在不行,重装,还原过系统,可以解决软件引起的问题。
2 如果只是运行个别软件或游戏偶尔出现的,重启电脑再试,或到其他地方下载其他版本的软件重新安装。
3 点 开始菜单 运行 输入 cmd 回车,在命令提示符下输入
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1 然后 回车。然后让他运行完,应该就可能解决。
4 最近电脑中毒、安装了不稳定的软件、等,建议全盘杀毒,卸了那个引发问题的软件,重新安装其他 版本,就可能解决. 再不行,重新装过系统就ok.
5 电脑机箱里面内存条进灰尘,拆开机箱,拆下内存条,清洁下内存金手指,重新装回去,就可能可以了。(cqjiangyong的,旧电脑经常出现这样的问题)
6 电脑用久了内存坏、买到水货内存、多条内存一起用不兼容等,建议更换内存即可能解决。
7 很多时候由于系统和显卡驱动的兼容性不好,也会出现这样的错误,建议你换个其他版本的显卡驱动安装,或换个其他版本的系统安装。
8 电脑用久了,硬盘坏,重新分区安装系统可以修复逻辑坏道,还是不行,那就
到了该换硬盘的时候了,换个硬盘就可以解决。
如果帮到你,请选为满意答案吧。
pe 开关机日志文件夹
删除多余开机引导项步骤: 1、按win +R打开运行。 2、输入msconfig,点击确定。 3、切换到引导项,点击需要删除的引导项,点击删除即可。