哎呀,你发上来的东西实在太多了,小弟没有细看,只是大体扫了一遍,发现了几个病毒,还有可疑进程,大体说一下吧。
一、Realplayer.exe><C:\WINNT\system32\Realplayer.exe>是前一阵出现的病毒,删除之!删除方法请在卡卡论坛里搜索,已经有详尽介绍了。
二、<DTService><rundll32.exe C:\WINNT\system32\soundmix.dll,Load>,这个东东似曾相识,不知你每次启动电脑时,系统有没提示你“加载soundmix.dll错误”,如果有,请在注册表里搜索“soundmix.dll”项,删除之!
三、[C:\WINNT\system32\dmserver.dll],正常情况下,DMserver是微软的逻辑磁盘服务,负责逻辑磁盘管理,一般是把dll文件挂接到svchost进程实现的,但是有一种著名的驱动木马pcshare的变种,可以将其替换,也就是将原来的dmserver.dll改名,将病毒自己的.dll文件改成dmserver.dll的样子。如果你想要确认的话,可以从网上下一个“knlsc”(一款命令行下的工具)扫一下,若扫到sys木马了,那么恭喜你:你又中了驱动级木马了!解决方法是:先停止逻辑磁盘管理服务,设置为手动的,然后删除 sys文件重新启动系统(因为d1l正在被系统使用,必须重新启动以后才能删除),重新启动好系统以后,这时候运行“冰刃”,在“冰刃”的文件管理器下,把剩下的病毒文件删除,然后再注册表
下删除病毒注册的键值,把逻辑磁盘管理服务的键值修改成正常的路径,重新启动,搞定!
四、[C:\WINNT\system32\msplus.dll] <><1, 0, 0, 1>
[C:\WINNT\system32\quartz32.dll] <><4, 1, 0, 0>
这两个属于流氓病毒,很烦人,来源大多是那个roogoo.com,自称“通用搜索”,其工作
方式和Yayad等其他流氓几乎一样,通过各种流氓方式先给同学们安装一个客户端,然后
再向一些企业兜售,并通过客户端弹出付费企业的广告。对这种病毒,对付办法比较麻烦,麻烦程度要视你中毒程度的深浅而定。一般来讲,该病毒的工作主要有以下几个方面:
1、创建注册表信息 【进入注册表删除相关信息】
HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
2、在注册表里创建键值 【进入注册表删除下面列出的右窗所创建信息】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
右窗创建 "FROMID" = "roogoo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3
右窗创建 "2102" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo
3、释放WS2IFSL.SYS文件创建系统驱动服务,以及在注册表里体现
【进入注册表,删除相关信息,并删除病毒文件,如果LEGACY_WS2IFSL
这一项删除不动的话,参考注册表残余信息的处理】
c:\windows\System32\drivers\ws2ifsl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
4、生成下列文件其中的某一个到系统目录 【先别动,处理参照下面的解决办法】
%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll
%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll
在hijackthis日志里的体现位置为O10项,比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
上面说的这种流氓病毒比较烦人就是针对第4点说的,就是说它已经进入了Winsock,这时,它可以监视用户电脑跟网络的通讯活动。而这个winsock指系统同通过TCP/IP进行连接的过程。流氓们进入winsock后,这时可是怠慢不得的,按照常规处理它,比如使用安全工具直接删除,或者手工干掉等等,这就会可能会出现下列症状:
--电脑无法连接互联网
--只能通过ip来访问网站,域名不能被解析
--部分平台或即时通讯软件无法使用
--等等internet不通的问题
鉴于此,给出下面的解决办法(强烈建议事先备份注册表):
1.手工修复
进入注册表,删除
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
然后重新启动机器,重新启动过程中,被删除的注册表信息会自动重新建立,重新建立的东东当然是干净的。重新启动后,再把TCP/IP协议给装下,如何装就不多说了,网上搜索下大把的抓,TCP/IP协议重装后,再重新启动机器,这个时候,问题已经解决。
2.借助工具
这里就要提到LSPFix.exe和winsockxpfix.exe,它们的下载页面为
http://www.winsockfix.nl
LSPFix.exe在置顶贴中的反病毒常用工具里有下载
拿LSPFix.exe来说,打开界面勾选“I know what I'm doing”,再看下边,左右两个框框,分别为Keep和Remove,确定左边出问题的dll文件,然后点两个框框之间的 ,进行Remove,然后重新启动电脑,问题得到解决。
五、C:\WINNT\System32\msdtc.exe和C:\WINNT\System32\llssrv.exe是两个跟多个数据库运行时有关的程序,我不知你的电脑是否是服务器或需要运行多个数据库,如果是,那就没有问题;如果不是,那就可疑了,因为msdtc.exe和com+结合也是windows操作系统的一个漏洞,可以让人远程执行代码,所以如果你的电脑不需要运行数据库时,若看到进程里有这两个程序,最好结束它们。
六、剩下的就是
[c:\WINNT\system32\FlashPlayer8OCX.dll]
C:\WINNT\Temp\wngjlfjaoi.Com
C:\WINNT\system32\Rundll32.exe这三个可疑程序了,建议用hijackthis扫描后,修复它们。(注意:第三个是Rundll32.exe,而不是rundll32.exe!)
基本上就这么多了,再有我也不管了,嘿嘿…………累死俺了…………
