弄了一上午，终于把它搞定了

上午下载了StyleXP玩玩，有空再写它，这篇主要是写我与一个木马作斗争。

刚刚删掉了wincup.exe，这个似乎最近很多，查了一下，据说是世界杯的广告，不过其行为已经与木马类似了，网上已经有了很多杀掉它的办法，无非就是删注册表项、删文件。不过说来好笑，我在服务里面找到了它，带说明的，说是世界杯的广告，不需要的话可以卸载，凭这个它还不算是恶意木马。于是我在控制面板的“添加删除程序”里面找到了它的卸载项，直接卸载，OK了。

令我郁闷的还不是这个wincup，而是upsrv.dll。

最近发现IE有这么个现象：打开一个IE窗口，然后浏览一个页面，这时总会自动打开一个新的IE窗口来浏览一个广告页面。在注册表中的CURRENT_USER/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN下找到了一个sys1，其内容是rundll32.exe c:/windows/system32/upsrv.dll，同时在任务管理器里可以看到一个以Administrator帐号启动的Rundll32.exe进程，于是结束该进程，删掉注册表项，再到硬盘里删掉文件，以为OK，结果不OK，一切照旧。

在网上搜，发现与upsrv.dll相关的还有一个upfdll.dll，这个无法删除，看来是有某个进程用它了，同时挨着这个文件的还有一个upf.exe，建立的时间与upfdll.dll相同，看来是一伙的。

在采取进一步的行动之前，找到了下面这篇很有价值的文章：

－－－－－－－－－－－－－－－－－－－－－－－－－－

一般来说，当间谍软件从Windows中清除后，最常见的系统错误就是DNS错误。在这种情况下，用户可以利用IP地址来察看网页，但是用域名就不行了。如果试图在IE中使用域名访问站点，IE会显示“该页无法显示”。

要知道为什么当间谍软件被清除后会有如此后果，你应该先了解windows是如何让你的电脑与Internet相连的。也许你知道，Windows通过利用TCP/IP协议与互联网通信，而Windows利用TCP/IP协议的机制被称作Winsock。

Winsock并不只是一个单独的文件，而是通过一系列分层的结构实现TCP/IP协议的，就像一个链子。如果用户将链子中的一环移开，Winsock的功能就会受到影响，轻则Internet连接出现某种问题，重则使电脑断开与Internet的连接。

某些间谍软件利用了Winsock，这样做有不少好处。首先，间谍软件看上去就像操作系统的一部分，因此比其它类的间谍软件更难被发现。第二，如果间谍软件核心进入了Winsock链，那么它就获得了相当大的权力，可以随意监控电脑与互联网的通信。最后，如果间谍软件核心能够骗过Windows，让它相信其是系统的一部分，那么这个间谍软件就不仅能在当前用户下工作了。因为在大多数情况下，操作系统和它的组件在该电脑的所有用户中都是有权限的。

因此事情就变得比较棘手了，比如你可以想象间谍软件已经渗入到操作系统并进入Winsock链中，而此时运行间谍软件清除工具虽然可以将间谍软件清除掉，但同时也破坏了winsock链的正常状态，从而影响了电脑与Internet的连接。在这种情况下，很多人都会选择重新安装Windows系统以便覆盖目前受损的系统，因为重新安装系统可以将丢失的系统文件补上，这样应该可以让Winsock链恢复正常。不过很不幸，当重新安装后你会发现，问题仍然没有得到解决。为什么呢？

这是由于Windows是一种可以升级和更新的系统，而Winsock链上的各个文件并不属于Windows的核心文件，而是通过注册表调用的。当用户重新安装操作系统覆盖原来的操作系统时，Setup程序会覆盖系统文件，但注册表中所有客户自行定义的内容则不会被修改。这意味这假如间谍软件在两个Winsock组件间插入了内容，那么就算间谍软件模块被清除了，并且系统也重装了，但注册表依然会调用这个间谍软件模块。

解决这个问题的唯一办法就是重建Winsock链并纠正注册表中与Winsock相关的内容。需要注意的是，修改注册表具有一定风险，一个错误的修改可能会导致系统或者应用程序损坏。因此在做以下操作前，我强烈建议用户先备份注册表。

要手动修改Winsock，需要在注册表中找到并删除以下两个键：

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2

删除这两个键后，你需要关闭注册表编辑器并重新启动电脑。当重启动时，Windows会在注册表中搜寻你刚才删除的那两个键，当发现找不到该键时，系统就会自行建立正确的键，这个问题也就得到了解决。

当系统重启后，你需要重新安装TCP/IP协议。右键点击网络连接并选择Properties 项，然后系统会列出连接协议列表。现在点击Install按钮并选择Protocol，然后点击Add。之后点击Have Disk并输入C:/Windows/inf（假设C:/Windows是你的Windows系统路径）。从列表中选择Internet Protocol (TCP/IP)项，并点击OK。重新启动电脑。

虽然这种方法可以修复错误，不过对一般用户来说可能有些困难。下面我介绍一种更简单的修复Winsock错误的方法。实际上，它是某个电脑高手为了快速修复这一错误而制作的免费小工具，名为Winsock Fix，由于它也是利用修改注册表的方式完成修复错误的工作，因此我依然建议用户在使用前备份注册表。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

我到安全模式下把这几个文件都删了，相关注册表项也删掉，重启。果然，不能联网了。我想那个upfdll.dll就是植入到winsock里面了，它没有了，winsock也就不行了。

多亏事先看了那篇文章，于是照做，搞定。

我还下载了WinsockXPFix.exe以防万一，结果也没用上。并非反对用工具，但是在用工具之前最好自己动手弄弄，这样了解的比较多。等下次再中这个木马的，再用工具吧，嘿嘿。

在LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN下还有个MoveSearch，其值为C:/Program Files/HuaCi/huaci/zsearch.exe，每次删掉都还有，硬盘上的文件删不掉，进程中没有，特别讨厌。

等俺先去吃饭，回来再收拾它吧。