本文主要是介绍弄了一上午,终于把它搞定了,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
上午下载了StyleXP玩玩,有空再写它,这篇主要是写我与一个木马作斗争。
刚刚删掉了wincup.exe,这个似乎最近很多,查了一下,据说是世界杯的广告,不过其行为已经与木马类似了,网上已经有了很多杀掉它的办法,无非就是删注册表项、删文件。不过说来好笑,我在服务里面找到了它,带说明的,说是世界杯的广告,不需要的话可以卸载,凭这个它还不算是恶意木马。于是我在控制面板的“添加删除程序”里面找到了它的卸载项,直接卸载,OK了。
令我郁闷的还不是这个wincup,而是upsrv.dll。
最近发现IE有这么个现象:打开一个IE窗口,然后浏览一个页面,这时总会自动打开一个新的IE窗口来浏览一个广告页面。在注册表中的CURRENT_USER/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN下找到了一个sys1,其内容是rundll32.exe c:/windows/system32/upsrv.dll,同时在任务管理器里可以看到一个以Administrator帐号启动的Rundll32.exe进程,于是结束该进程,删掉注册表项,再到硬盘里删掉文件,以为OK,结果不OK,一切照旧。
在网上搜,发现与upsrv.dll相关的还有一个upfdll.dll,这个无法删除,看来是有某个进程用它了,同时挨着这个文件的还有一个upf.exe,建立的时间与upfdll.dll相同,看来是一伙的。
在采取进一步的行动之前,找到了下面这篇很有价值的文章:
--------------------------
一般来说,当间谍软件从Windows中清除后,最常见的系统错误就是DNS错误。在这种情况下,用户可以利用IP地址来察看网页,但是用域名就不行了。如果试图在IE中使用域名访问站点,IE会显示“该页无法显示”。
要知道为什么当间谍软件被清除后会有如此后果,你应该先了解windows是如何让你的电脑与Internet相连的。也许你知道,Windows通过利用TCP/IP协议与互联网通信,而Windows利用TCP/IP协议的机制被称作Winsock。
Winsock并不只是一个单独的文件,而是通过一系列分层的结构实现TCP/IP协议的,就像一个链子。如果用户将链子中的一环移开,Winsock的功能就会受到影响,轻则Internet连接出现某种问题,重则使电脑断开与Internet的连接。
某些间谍软件利用了Winsock,这样做有不少好处。首先,间谍软件看上去就像操作系统的一部分,因此比其它类的间谍软件更难被发现。第二,如果间谍软件核心进入了Winsock链,那么它就获得了相当大的权力,可以随意监控电脑与互联网的通信。最后,如果间谍软件核心能够骗过Windows,让它相信其是系统的一部分,那么这个间谍软件就不仅能在当前用户下工作了。因为在大多数情况下,操作系统和它的组件在该电脑的所有用户中都是有权限的。
因此事情就变得比较棘手了,比如你可以想象间谍软件已经渗入到操作系统并进入Winsock链中,而此时运行间谍软件清除工具虽然可以将间谍软件清除掉,但同时也破坏了winsock链的正常状态,从而影响了电脑与Internet的连接。在这种情况下,很多人都会选择重新安装Windows系统以便覆盖目前受损的系统,因为重新安装系统可以将丢失的系统文件补上,这样应该可以让Winsock链恢复正常。不过很不幸,当重新安装后你会发现,问题仍然没有得到解决。为什么呢?
这是由于Windows是一种可以升级和更新的系统,而Winsock链上的各个文件并不属于Windows的核心文件,而是通过注册表调用的。当用户重新安装操作系统覆盖原来的操作系统时,Setup程序会覆盖系统文件,但注册表中所有客户自行定义的内容则不会被修改。这意味这假如间谍软件在两个Winsock组件间插入了内容,那么就算间谍软件模块被清除了,并且系统也重装了,但注册表依然会调用这个间谍软件模块。
解决这个问题的唯一办法就是重建Winsock链并纠正注册表中与Winsock相关的内容。需要注意的是,修改注册表具有一定风险,一个错误的修改可能会导致系统或者应用程序损坏。因此在做以下操作前,我强烈建议用户先备份注册表。
要手动修改Winsock,需要在注册表中找到并删除以下两个键:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Winsock2
删除这两个键后,你需要关闭注册表编辑器并重新启动电脑。当重启动时,Windows会在注册表中搜寻你刚才删除的那两个键,当发现找不到该键时,系统就会自行建立正确的键,这个问题也就得到了解决。
当系统重启后,你需要重新安装TCP/IP协议。右键点击网络连接并选择Properties 项,然后系统会列出连接协议列表。现在点击Install按钮并选择Protocol,然后点击Add。之后点击Have Disk并输入C:/Windows/inf(假设C:/Windows是你的Windows系统路径)。从列表中选择Internet Protocol (TCP/IP)项,并点击OK。重新启动电脑。
虽然这种方法可以修复错误,不过对一般用户来说可能有些困难。下面我介绍一种更简单的修复Winsock错误的方法。实际上,它是某个电脑高手为了快速修复这一错误而制作的免费小工具,名为Winsock Fix,由于它也是利用修改注册表的方式完成修复错误的工作,因此我依然建议用户在使用前备份注册表。
------------------------------
我到安全模式下把这几个文件都删了,相关注册表项也删掉,重启。果然,不能联网了。我想那个upfdll.dll就是植入到winsock里面了,它没有了,winsock也就不行了。
多亏事先看了那篇文章,于是照做,搞定。
我还下载了WinsockXPFix.exe以防万一,结果也没用上。并非反对用工具,但是在用工具之前最好自己动手弄弄,这样了解的比较多。等下次再中这个木马的,再用工具吧,嘿嘿。
在LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN下还有个MoveSearch,其值为C:/Program Files/HuaCi/huaci/zsearch.exe,每次删掉都还有,硬盘上的文件删不掉,进程中没有,特别讨厌。
等俺先去吃饭,回来再收拾它吧。
这篇关于弄了一上午,终于把它搞定了的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
