本帖最后由 freesoft00 于 2010-3-12 12:50 编辑
在IceLight的作者博客转载的文章入选:
开端
昨天突然发现本本能收到两个无线信号, 还三格多. 不过都设了密码. 想想自己的 3945 不是什么专业网卡, 还好网络上有相关的用 BT3 + 3945ABG 破解无线密码的教程. 为了引导 BT3, 装 MaxDOS 7.1.
发展
咦? 鼠标怎么时不时地多出个小沙漏? 不干净的东西什么时候跑进来了?! 开狙剑, 主动防御上没有异常, 偶然发现狙剑的 PID 已经飙升到三万多!! 咋一看都是 wmiprvse.exe 的残骸, 父进程是 explorer. 心想这下问题大了.. 用 360 扫插件, 发现一个名为 "browse by name" 的插件, 清除不掉. 360 还报发现恶意文件 "so.dll", 当然这个文件也请不走~ 咋办? 有问题找谷歌, 看来落水的不止我一个.
□□
有人说他的机子上还多了个 "knlrun.sys", 该驱动是问题的罪魁祸首. 幸运的是这玩意也赖着不走. 于是再次动用狙剑, 先让 explorer 休息片刻. 强制删除 knlrun.sys so.dll. 再删除注册表中与 knlrun 有关的项目.
还好, 我找到了一个非常好的批处理, 献上代码. @echo off - cd \ echo 注意:涉及到注册表操作,故请先备份注册表,以防注册表操作失败时恢复!!
- echo 没有备份注册表请直接结束程序,不要再往下运行!! pause
echo -------------------------------------------------------------- echo 关闭explorer taskkill /im explorer.exe /f
echo -------------------------------------------------------------- echo 清空tmp文件夹下的临时文件,清空预取文件夹prefetch del /f /s /q %windir%\prefetch\*.*
- del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
- echo ------------------------------------------------------------- echo 清除核心恶意/病毒文件:C:\WINDOWS\system32\drivers\Knlrun.sys;C:\WINDOWS\system32\so.dll;C:\WINDOWS\system32\wmiprvse.exe
- del /q /f /a %systemroot%\system32\wmiprvse.exe del /q /f /a %systemroot%\system32\so.dll
- del /q /f /a %systemroot%\system32\drivers\knlrun.sys
- echo ------------------------------------------------------------- echo 清除以下文件:C:\Program Files\Common Files\System\uni3B.tmp;C:\Program Files\Common Files\System\unii.dat;C:\Program Files\Common Files\System\uni.exe;C:\Program Files\Common Files\System\unii.xml;C:\Program Files\Common Files\System\unibak.xml;C:\Program Files\Common Files\System\temp.bat;C:\Program Files\Common Files\System\MaxSet.exe;C:\Program Files\Common Files\System\IRIMG1.BMP;(注意:只是建议清除,需要清除的可以在该文件夹下手动删除,此部分可能会导致MaxDos的部分Windows下的功能不能使用,C盘是指安装启动分区的目录即一定是第一个分区,而不一定是当前的系统分区,比如系统安装在D盘则仍然要到C盘下去找这些文件)
echo -------------------------------------------------------------- echo MaxDos在启动分区建立的启动文件和MaxDos文件夹,在系统分区的Program Files下的建立的"迈思工作室"文件夹建议保留即可,以使用MaxDos的功能。
- echo ------------------------------------------------------------- echo 删除以下注册表项
- @echo on reg delete HKLM\SOFTWARE\Classes\CLSID\{02AC20DD-5548-4CA7-ACCF-18AFE5A4A072} /va /f
- reg delete HKLM\SOFTWARE\Classes\Interface\{10C19B07-0096-402C-A2B9-D4AD0D7E4AE6} /va /f reg delete HKLM\SOFTWARE\Classes\NetCafeHlp.AddrHelper.1 /va /f
- reg delete HKLM\SOFTWARE\Classes\NetCafeHlp.AddrHelper /va /f reg delete HKLM\SOFTWARE\Classes\TypeLib\{1489D187-72A4-4433-AC5B-608292D2E42C}\1.0 /va /f
- reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02AC20DD-5548-4CA7-ACCF-18AFE5A4A072}" /va /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls /v "C:\Program Files\Common Files\System\temp.bat" /f
- reg delete HKLM\SOFTWARE\So /v Type /f rem delete HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNLRUN /va /f
- reg delete HKLM\SYSTEM\ControlSet001\Services\knlrun /va /f rem delete HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNLRUN /va /f
- reg delete HKLM\SYSTEM\CurrentControlSet\Services\knlrun /va /f rem delete HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNLRUN /va /f
- reg delete HKLM\SYSTEM\ControlSet002\Services\knlrun /va /f
- @echo off echo -------------------------------------------------------------
- echo 清理完毕,按任意键重启explorer并退出程序 echo 注意:以下注册表项请手动删除!!由于每个机子的“S-1-5-21-1292428093-1229272821-1177238915-1003”值并不相同,所以找相似的子项,或者直接查找{02AC20DD-5548-4CA7-ACCF-18AFE5A4A072}键值,找到后删除!!
- echo "HKEY_USERS\S-1-5-21-1292428093-1229272821-1177238915-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\{02AC20DD-5548-4CA7-ACCF-18AFE5A4A072}"
- echo ------------------------------------------------------------- echo 注意:以下注册表必须手动清除!!
- echo 清除方法:首先找到该注册表项,然后右键选择“权限”,在弹出的对话框中赋予everyone完全控制的权限,确定后,右键选择“删除”。 echo HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_KNLRUN
- echo HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KNLRUN echo HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_KNLRUN
- pause
- explorer.exe
运行该批处理后, 清理插件 "browse by name", 重启, 问题解决
|
经MAXDOS作者证实,以上属于以前版本的MAXDOS,现在的MAXDOS 8 已无强制插件,改为了baidu可选插件。
至于带来的麻烦和不便,只能对作者报以对不起了。
另外,maxdos确实是一个不错的dos软件,很多人包括网吧都在用,因为关注所以才讨论,希望软件越做越好。
希望大家理解,不要有太多过激言语。
---------------------------------------------------------------------------------------------
另附上原作者的回复:
的确 maxdos 旧版本中确实是存在强行安装插件行为,但是我们在安装协议已经有声明了,可能有的同学没有注意去看。导致了一些过激的行为,这个我们也没办法,也对在未知情况下安装了此插件的同学表示歉意。关于声明请查看图片中的红线记号,如果您还是不相信,可到其它站点中下载是否一样存在同样的声明。
 
但是在中国这么大个市场,真正有几个人愿拿几块钱去支持一个小软件的开发以发展呢,想必能愿意的屈指可数吧。(当然,也包括我。嘿嘿)有些时候我也想做圣人,我一直都坚持着绿色免费着它,但是由于网站需要一定的费用来支持着,而且现在面对互联网这一块三天两头的严打,你没有一台专用的服务器去支撑一个论坛是活不下去的,早晚让那些空间商们整死。所以我也只能在软件中集成一些小插件来得到些收入,来持平这些支出,如果让您换个角度来想一想,或许您就想通了,可能也能相互理解了。
虽然MAXDOS用户挺多,当然抱怨的也有很多。也有天天大有人叫MAXDOS不厚道,不开源,QJ G4D,等等。其实我一直想把它做成最好的,一直在努力。8.0版本中已经在标题上标明了基于GRUB4DOS,8.0已经支持WIN VISTA WIN7,WIN2008以及64位系统,并且都为一体包,全新一键备份还原,可实现在WIN上操作一键备份还原(当然最后还是在DOS上自动进行),看到这里,我想您也可以看到我们也一直在希望把它做的最好。至于开不开源,其实DOS这东西他还能加密吗,所有的代码都在安装目录里,只是你知不知道怎么去取用它,小小的加密,只是不想让一菜鸟直接COPY了,改改界面就是他的了,然后到处散布,出问题了却又来归罪于我,至于真正需要我程序的人,想必不用找我,他能很容易的程序中取得你所需要的。
最后,好久没来,罗嗦了这么多,希望大家别见怪,不喜欢的同学,请飘过,当我放屁。谢谢
最后 MAXDOS 8.0 已经没有强制插件了,改成了可选安装的BAIDU纠错插件。并且可以添加删除程序中单独卸载此插件。
而且我也测试了,对您的IE是没有影响了,至少他不会让你的IE出问题 :) 如果在不影响您的使用下,也建议您支持下我们,安装该插件,嘿嘿。
大家都不容易,希望能理解万岁了。
|
发表于 2010-3-8 17:29:17
发表于 2010-3-9 19:36:20
