瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 斑竹请进来,探讨一下wschon32劫持的问题,我已经手动清除了。

1   1  /  1  页   跳转

斑竹请进来,探讨一下wschon32劫持的问题,我已经手动清除了。

收藏
bonizlee
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2005-12-13
  • 来自:
发表于: 2006-09-01 17:16 | 显示全部 短消息 资料
字号: 1楼

斑竹请进来,探讨一下wschon32劫持的问题,我已经手动清除了。

小弟按照各位提供的方法都不能成功卸除,LSPFix提示成功卸载,但是去删文件时候就发现仍在使用中。搞到蓝天兄弟都好像有点不耐烦了。也难怪,大部分的人都是相同问题,不先去看解决方法而乱发帖,你们毕竟精力有限。

我在注册表中“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2”的“Parameters\NameSpace_Catalog5\Catalog_Entries”主键中找到了LSPFix所列出的4个栏目。
分别就是:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="Tcpip"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="网络位置知晓 (NLA) 名称空间 "
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\System32\\nwprovau.dll"
"DisplayString"="NWLink IPX/SPX/NetBIOS Compatible Transport Protocol"
"ProviderId"=hex:f0,aa,2d,e0,9f,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:00000001
"Enabled"=dword:00000001
"Version"=dword:00000001
"StoresServiceClassInfo"=dword:00000001

其中第三个的mswsock.dll应该就是伪装的wschon32.dll,因为在LSPFix显示的DisplayString属性中,只有它是不符合的。那么我就删除调这个000000000003项目,将000000000004改成000000000003,并且将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5下的"Num_Catalog_Entries"的值改成3。

重启之后,就可以去删除wschon32喇。
但现在还有一个问题请教,虽然我能够删除,但是我用WinsockXPFix修复的时候,经常提示“53错误,文件未找到”,这个是什么问题?还有,就是瑞星的邮件监控功能不可以正常打开,是否在winscok上还有问题呢?
最后编辑2006-09-01 21:41:26
分享到:
gototop
 
bonizlee
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2005-12-13
  • 来自:
发表于: 2006-09-01 21:49 | 显示全部 短消息 资料
字号: 2楼

谢谢无邪兄和蓝天兄。问题已经解决了。
我将注册表的“HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinSock”部分也还原了,再重启瑞星就能够启动服务。

不过总的来说,我还是碰巧把这个问题解决了,因为我都不明白瑞星的服务和winsock部分的注册项目有什么关系,因为里面太多实体目录了,没时间去分析。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT