弄了一上午,终于把它搞定了

上午下载了StyleXP玩玩,有空再写它,这篇主要是写我与一个木马作斗争。

刚刚删掉了wincup.exe,这个似乎最近很多,查了一下,据说是世界杯的广告,不过其行为已经与木马类似了,网上已经有了很多杀掉它的办法,无非就是删注册表项、删文件。不过说来好笑,我在服务里面找到了它,带说明的,说是世界杯的广告,不需要的话可以卸载,凭这个它还不算是恶意木马。于是我在控制面板的“添加删除程序”里面找到了它的卸载项,直接卸载,OK了。

令我郁闷的还不是这个wincup,而是upsrv.dll。

最近发现IE有这么个现象:打开一个IE窗口,然后浏览一个页面,这时总会自动打开一个新的IE窗口来浏览一个广告页面。在注册表中的CURRENT_USER/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN下找到了一个sys1,其内容是rundll32.exe c:/windows/system32/upsrv.dll,同时在任务管理器里可以看到一个以Administrator帐号启动的Rundll32.exe进程,于是结束该进程,删掉注册表项,再到硬盘里删掉文件,以为OK,结果不OK,一切照旧。

在网上搜,发现与upsrv.dll相关的还有一个upfdll.dll,这个无法删除,看来是有某个进程用它了,同时挨着这个文件的还有一个upf.exe,建立的时间与upfdll.dll相同,看来是一伙的。

在采取进一步的行动之前,找到了下面这篇很有价值的文章:

--------------------------

一般来说,当间谍软件从Windows中清除后,最常见的系统错误就是DNS错误。在这种情况下,用户可以利用IP地址来察看网页,但是用域名就不行了。如果试图在IE中使用域名访问站点,IE会显示“该页无法显示”。

要知道为什么当间谍软件被清除后会有如此后果,你应该先了解windows是如何让你的电脑与Internet相连的。也许你知道,Windows通过利用TCP/IP协议与互联网通信,而Windows利用TCP/IP协议的机制被称作Winsock。

Winsock并不只是一个单独的文件,而是通过一系列分层的结构实现TCP/IP协议的,就像一个链子。如果用户将链子中的一环移开,Winsock的功能就会受到影响,轻则Internet连接出现某种问题,重则使电脑断开与Internet的连接。

某些间谍软件利用了Winsock,这样做有不少好处。首先,间谍软件看上去就像操作系统的一部分,因此比其它类的间谍软件更难被发现。第二,如果间谍软件核心进入了Winsock链,那么它就获得了相当大的权力,可以随意监控电脑与互联网的通信。最后,如果间谍软件核心能够骗过Windows,让它相信其是系统的一部分,那么这个间谍软件就不仅能在当前用户下工作了。因为在大多数情况下,操作系统和它的组件在该电脑的所有用户中都是有权限的。

因此事情就变得比较棘手了,比如你可以想象间谍软件已经渗入到操作系统并进入Winsock链中,而此时运行间谍软件清除工具虽然可以将间谍软件清除掉,但同时也破坏了winsock链的正常状态,从而影响了电脑与Internet的连接。在这种情况下,很多人都会选择重新安装Windows系统以便覆盖目前受损的系统,因为重新安装系统可以将丢失的系统文件补上,这样应该可以让Winsock链恢复正常。不过很不幸,当重新安装后你会发现,问题仍然没有得到解决。为什么呢?

这是由于Windows是一种可以升级和更新的系统,而Winsock链上的各个文件并不属于Windows的核心文件,而是通过注册表调用的。当用户重新安装操作系统覆盖原来的操作系统时,Setup程序会覆盖系统文件,但注册表中所有客户自行定义的内容则不会被修改。这意味这假如间谍软件在两个Winsock组件间插入了内容,那么就算间谍软件模块被清除了,并且系统也重装了,但注册表依然会调用这个间谍软件模块。

解决这个问题的唯一办法就是重建Winsock链并纠正注册表中与Winsock相关的内容。需要注意的是,修改注册表具有一定风险,一个错误的修改可能会导致系统或者应用程序损坏。因此在做以下操作前,我强烈建议用户先备份注册表。

要手动修改Winsock,需要在注册表中找到并删除以下两个键:

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2

删除这两个键后,你需要关闭注册表编辑器并重新启动电脑。当重启动时,Windows会在注册表中搜寻你刚才删除的那两个键,当发现找不到该键时,系统就会自行建立正确的键,这个问题也就得到了解决。

当系统重启后,你需要重新安装TCP/IP协议。右键点击网络连接并选择Properties 项,然后系统会列出连接协议列表。现在点击Install按钮并选择Protocol,然后点击Add。之后点击Have Disk并输入C:/Windows/inf(假设C:/Windows是你的Windows系统路径)。从列表中选择Internet Protocol (TCP/IP)项,并点击OK。重新启动电脑。

虽然这种方法可以修复错误,不过对一般用户来说可能有些困难。下面我介绍一种更简单的修复Winsock错误的方法。实际上,它是某个电脑高手为了快速修复这一错误而制作的免费小工具,名为Winsock Fix,由于它也是利用修改注册表的方式完成修复错误的工作,因此我依然建议用户在使用前备份注册表。

------------------------------

我到安全模式下把这几个文件都删了,相关注册表项也删掉,重启。果然,不能联网了。我想那个upfdll.dll就是植入到winsock里面了,它没有了,winsock也就不行了。

多亏事先看了那篇文章,于是照做,搞定。

我还下载了WinsockXPFix.exe以防万一,结果也没用上。并非反对用工具,但是在用工具之前最好自己动手弄弄,这样了解的比较多。等下次再中这个木马的,再用工具吧,嘿嘿。

在LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN下还有个MoveSearch,其值为C:/Program Files/HuaCi/huaci/zsearch.exe,每次删掉都还有,硬盘上的文件删不掉,进程中没有,特别讨厌。

等俺先去吃饭,回来再收拾它吧。 

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页
评论

打赏作者

sizheng0320

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值