经检查,并不是由NetWare服务所导致的。同时,IE的收藏夹内也被恶意地添加了很多链接。
上网搜索,在金山毒霸的病毒资料中得知是中了叫做Win32.Troj.ADLoad.an的木马病毒。该病毒主要影响Win 9x/ME、Win 2000/NT、Win XP、Win 2003等操作系统,并有如下行为:
病毒运行后通过网络下载相关的广告插件,下载后的文件伪装成系统正常文件使用户不易察觉。病毒主要通过捆绑软件方式进行传播。
1、下载/生成以下文件:
%Windir%/System32/magicap.dll
%Windir%/System32/magicap.ver
%Windir%/System32/magicaptmp.ver
%Windir%/System32/taskmngr.exe
%Windir%/System32/autorun.inf
%Windir%/System32/taskmngrtmp.exe
%Windir%/System32/d11host.exe
%Windir%/System32/magicapf.log
%Windir%/System32/oleauto32.dll
%Windir%/System32/ntcoredll.dll
%Windir%/System32/rpcfap.dll
%Windir%/System32/fileap.dll
%Windir%/System32/fileap.ver
%Windir%/System32/msieinslog.dat
%Windir%/prfexp.dat
%Windir%/secupadf.dat
%Windir%/msimfinst.log
%Windir%/ntcoredlltmp.dll
2、通过可用的网络资源下载以下文件:
http://bms.y****.com/plugin/magicap.ver 保存为: %Windir%/system32/magicap.ver
http://bms.y****.com/plugin/taskmngr.exe 保存为: %Windir%/system3/taskmngr.exe
3、将%windir%/system32/spydll.dll注入explorer进程
4、写入注册表项:
[HEKY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
d11host="C://WINNT//System32//d11host.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
GinaDLL="rpcfap.dll"
根据网上的评论,对于该病毒,暂时还没有彻底清除的解决方案。综合了各种方法,我总结了以下步骤,可以解决欢迎屏幕和快速用户切换不能使用的问题:
方法1:
1、开机按F8键进入操作系统的安全模式,删除以下所有病毒写入的注册表项目(这些项目未必全部存在,对于存在的项目一定要彻底删除。):
[HEKY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HEKY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved]
{372F096E-977F-4BF9-A97E-0BBED41332F2}="magicaps"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
d11host="C://WINNT//System32//d11host.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
GinaDLL="rpcfap.dll"
[HEKY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellExtensions/Approved]
(默认)=fileap.dll
[HEKY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks]
(默认)=fileap.dll
2、在注册表中搜索rpcfap.dll,并将所有项全部删除(搜索的时候,有的项里面的子值都是上面病毒生成的文件,所以,一定要仔细搜索,彻底删除。)。
3、在注册表中搜索fileap.dll,并将所有项全部删除。
4、将IE收藏夹中所有被恶意添加的链接全部删除并清空Cookies和IE浏览记录。
经过上面的操作,重新启动系统后,就可以看到熟悉的登录画面了。
另外,对于正常的Windows XP系统,rpcfap.dll文件是不存在的,所以,有的人采用进入安全模式后删除该文件的方法,不过,最终连系统都进不去了,所以还是不要轻易尝试简单删除的办法。
方法2
第一步,先拷贝本方法内容到记事本,存到桌面上,一会备用,因为你上不了网了,呵呵。
2. 进入注册表先搜索删除下列相关键值(特别提示:不要输入扩展名能查得更准确一些):
magicap.dll
magicap.ver
magicaptmp.ver
taskmngr.exe
taskmngrtmp.exe
d11host.exe
magicapf.log
oleauto32.dll
ntcoredll.dll
rpcfap.dll
fileap.dll
fileap.ver
msieinslog.dat
prfexp.dat
secupadf.dat
msimfinst.log
ntcoredlltmp.dll
spydll.dl
3.进入系统目录,删除相关文件:
%Windir%/System32/magicap.dll
%Windir%/System32/magicap.ver
%Windir%/System32/magicaptmp.ver
%Windir%/System32/taskmngr.exe
%Windir%/System32/autorun.inf
%Windir%/System32/taskmngrtmp.exe
%Windir%/System32/d11host.exe
%Windir%/System32/magicapf.log
%Windir%/System32/oleauto32.dll
%Windir%/System32/ntcoredll.dll
%Windir%/System32/rpcfap.dll
%Windir%/System32/fileap.dll
%Windir%/System32/fileap.ver
%Windir%/System32/msieinslog.dat
%Windir%/prfexp.dat
%Windir%/secupadf.dat
%Windir%/msimfinst.log
%Windir%/ntcoredlltmp.dll
%Windir%/System32/spydll.dl
注意,如果有些DLL还在运行中无法删除,请重新启动再次进入安全模式,再次进行上述操作,多重启几次,问题就解决了。
3290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
