endurer 原创
2006-10-15 第1版
昨晚,一位同事说他的电脑反应慢,可以玩网游,但不能浏览网页……让我帮忙检查。
该电脑使用的是Win XP SP2,装有江民KV2006杀毒软件 和 Outpost防火墙。
进入桌面后系统反应确实慢,打开任务管理器,看到cpu使用率100%,检查进程列表,发现有名为RUNDLL.EXE和Update.exe的进程,终止它们,系统反应正常。
ping www.163.com,正常,网络是通的。
想从网上下载软件分析系统,但无法浏览网页。
鉴于江民KV2006的不稳定性,网页监控有经常导致网页无法浏览的“传统”,于是把江民KV实时监控关了,还是不行。
到控制面板检查“添加删除程序”,发现了Desktop Media,MMSAssist(彩信)、webwork、雅虎助手等流氓软件。
由于Desktop Media会挂接Winsock LSP(在HijackThis的log中会报为O10项),杀毒软件如果杀了挂接的文件,但没有修复Winsock LSP,则无法网页(可参考:解决弹出窗口及AdWare.HBang(第5版),http://endurer.bokee.com/4466883.html)
尝试卸载Desktop Media,但没有成功……
想上QQ,请网友把所需软件传过来,但QQ登录也不成功……
重启电脑到带网络连接的安全模式,
打开命令提示符,输入并执行命令:ipconfig.exe /all > c:/net.txt,把当前网络配置信息保存到文件c:/net.txt中。
打开注册表编辑器,到
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Network]
先导出备份为network.reg,再删除两个与TCP/IP和当前网络连接有关的键。
到硬件管理器里卸载了网卡。
重新启动电脑,系统提示发现网卡,但找不到网卡驱动程序,没有显示任务栏和桌面图标,按 Ctrl+Alt+Del 打开任务管理器,用菜单:文件->新任务,找到刚才备份的network.reg,导入注册表,重启电脑。
这次可以正常进入桌面,但网卡仍然因为没有找到驱动程序而未工作,打开先前保存网络配置信息的文件c:/net.txt,按里面的网卡类型手动选择驱动程序安装……OK!
终于可以浏览网页了!
到 http://endurer.ys168.com 下载 fix_ie.bat,LSPFix.exe,HijackThis,IceSword,,瑞星杀毒助手 for Win 2000以上版本,下次启动时删除文件程序auto_del。
到 http://purpleendurer.ys168.com 下载 文件批处理器 bat_do。
到瑞星网站下载瑞星注册表修复工具。
先运行瑞星注册表修复工具,未发现异常项目。
运行LSPFix.exe,未发现Desktop Media挂接LSP的项目。
运行 Hijackthis 扫描log,发现以下可疑项目:
/------------------
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/SYSTEM32/RUNDLL.EXE
C:/Program Files/Common Files/update2/Update.exe
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:/Documents and Settings/All Users/Application Data/Microsoft/UserData/IEHelper_5001.dll
O2 - BHO: raObject Class - {46F194EB-B7DB-4B7A-BD42-5FF39FD17664} - C:/PROGRA~1/pcast/hbcast.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/mmsass~1.dll
O2 - BHO: (no name) - {D83D38CF-77AE-4611-9EDE-72D910610236} - C:/WINDOWS/system32/sys32version.dll
O4 - HKLM/../Run: [NewRmtService ] C:/Program Files/NewRemoteControl/NewRmtService.exe
O4 - HKLM/../Run: [Update] C:/Program Files/Common Files/update2/Update.exe
O4 - HKLM/../Run: [RichMedia] C:/WINDOWS/system32/Rundll32.exe "C:/PROGRA~1/pcast/hbcast.dll",WaitWindows
O4 - HKCU/../Run: [bgswitch] C:/WINDOWS/system32/bgswitch.exe
O8 - Extra context menu item: >>彩信发送<< - res://C:/PROGRA~1/MMSASS~1/mmsass~1.dll/mms.htm
O20 - Winlogon Notify: skwinlogon - C:/WINDOWS/SYSTEM32/dll.dll
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:/WINDOWS/webwork/webwork.dll
-----------/
卸载:MMSAssist(彩信)、webwork、雅虎助手等流氓软件。
用WinRAR检查 c:/windows 和 c:/windows/system32,发现以下可疑文件:
/-----------------
DLL.dll
IE.exe(Kaspersky 报为 Trojan-Spy.Win32.Agent.ct,http://www.viruslist.com/en/find?words=Trojan-Spy.Win32.Agent.ct)
rundll.exe
rundll32.exe(图标是张白纸)
sys32version.dll(Kaspersky 报为 Trojan-Clicker.Win32.BHO.f,http://www.viruslist.com/en/find?words=Trojan-Clicker.Win32.BHO.f;瑞星 报为 Trojan.DL.Agent.xec)
cnt.exe(Kaspersky 报为 Trojan-Clicker.Win32.BHO.f)
update21.exe
update31.exe
update41.exe
……(都是update?1.exe,略了)
update111.exe
usercrd.dll(Kaspersky 报为 not-a-virus:AdWare.Win32.Ncast.d,http://www.viruslist.com/en/find?words=not-a-virus:AdWare.Win32.Ncast.d)
------------------/
都拖到bat_do程序窗口中,在文件列表中都钩上
把“用RAR压缩”钩上,输入解压密码,设置压缩文件存放的位置为d:/virus
把“设置属性”钩上
把“改名”钩上
点击[生成命令]按钮和[执行命令]按钮
运行瑞星杀毒助手,使用瑞星在线免费扫描c:/windows,发现c:/windows/system32/sys32version.dll为 Trojan.DL.Agent.xec
使用瑞星在线免费扫描c:/Documents and Settings,发现IE临时文件夹中的Install.exe 为 Dropper.Agent.dxr(Kaspersky 报为 not-a-virus:AdWare.Win32.Softomate.u,http://www.viruslist.com/en/find?words=not-a-virus:AdWare.Win32.Softomate.u )。
都用瑞星杀毒助手处理了。
用HijackThis扫描并修复上面所列的项目。
清空IE临时文件夹
8875
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
