winsock类型病毒后遗症处理
2024-04-20 07:36:32
近期发现的windows一例病毒(恶意软件)处理办法
现象(可能满足其中一条或多条):
1、电脑能够ping通外面的IP地址或域名,但ping时在第一行的说明及最后面的统计中出现问号(?)或乱码;
例:C:\>ping www.yahoo.com.cn
Pinging www.yahoo.com.cn[?] with 32 bytes of data:
Reply from 131.94.57.182: bytes=32 time=86ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Ping statistics for Où?: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds: Minimum = 74ms, Maximum = 86ms, Average = 77ms OR
1、电脑能够ping通外面的IP地址或域名,但ping时在第一行的说明及最后面的统计中出现问号(?)或乱码;
例:C:\>ping www.yahoo.com.cn
Pinging www.yahoo.com.cn[?] with 32 bytes of data:
Reply from 131.94.57.182: bytes=32 time=86ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Ping statistics for Où?: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds: Minimum = 74ms, Maximum = 86ms, Average = 77ms OR
C:\>ping 131.94.57.182
Pinging ? with 32 bytes of data:
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Pinging ? with 32 bytes of data:
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Ping statistics for Où?:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds: Minimum = 73ms, Maximum = 74ms, Average = 73ms
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds: Minimum = 73ms, Maximum = 74ms, Average = 73ms
2、电脑无法访问WEB页面;
3、如果安装了某些防病毒软件,有可能可以发现病毒,但无法查杀;停止防病毒软件后发现WEB可以使用,再次打开防病毒软件后WEB仍然可以使用;
4、“设备管理器”中,单击“显示隐藏的设备”时,“TCP/IP 协议驱动程序”在“非即插即用驱动程序”下列出并显示为禁用,错误代码为 24;
5、建立拨号连接时,您可能会收到下面的错误消息:Error 720: No PPP Control Protocols Configured ;
6、在命令提示符处发出“ipconfig”命令时,您可能会收到与以下某条消息类似的错误消息:
The operation failed since no adapter is in the state permissible for this operation. The attempted operation is not supported for the type
3、如果安装了某些防病毒软件,有可能可以发现病毒,但无法查杀;停止防病毒软件后发现WEB可以使用,再次打开防病毒软件后WEB仍然可以使用;
4、“设备管理器”中,单击“显示隐藏的设备”时,“TCP/IP 协议驱动程序”在“非即插即用驱动程序”下列出并显示为禁用,错误代码为 24;
5、建立拨号连接时,您可能会收到下面的错误消息:Error 720: No PPP Control Protocols Configured ;
6、在命令提示符处发出“ipconfig”命令时,您可能会收到与以下某条消息类似的错误消息:
The operation failed since no adapter is in the state permissible for this operation. The attempted operation is not supported for the type
of object referenced.
7、在命令提示符处发出“Netsh int ip reset resetlog.txt”命令时,您可能会收到下面的错误消息: Initialization function INITHELPERDLL in
7、在命令提示符处发出“Netsh int ip reset resetlog.txt”命令时,您可能会收到下面的错误消息: Initialization function INITHELPERDLL in
IPMONTR.DLL failed to start with error code 10107.
8、发出“ipconfig /renew”命令时,您可能会收到下面的错误消息:“An error occurred while renewing interface local area connection: an
8、发出“ipconfig /renew”命令时,您可能会收到下面的错误消息:“An error occurred while renewing interface local area connection: an
operation was attempted on something that is not a socket. Unable to contact driver Error code 2”
病毒(恶意软件)分析:
此种病毒应该定位成一种劫持winsock的一种病毒。windows应用程序通过使用winsock接口调用底层的一些协议,病毒把自己插入到这个过程中,从而实现了一种“代理”的角色。同时,这种病毒(或恶意程序)在启用方式上也有特殊之处,它本身是一种DLL文件,它是修改其它程序,让其它exe程序在启动时去调用它,所以在杀毒的过程中,这个病毒即使被查杀到,但由于它是隐藏在其它进程中的,所以系统也不会让防病毒软件杀掉这个病毒。某些防病毒软件正是因为这个原因,所以无法杀掉这个病毒,但由于其控制了病毒代理其它应用去调用winsock,所以WEB访问便无法实现;当停止防病毒软件后,病毒成功实现了调用,所以系统可以正常工作;当再次启用防病毒软件后,由于访问WEB不需要再次去调用winsock,所以系统也能正常工作,仅仅是防病毒软件提示不能清除病毒。
当然,有些防病毒软件能够暴力清除病毒,但由于其断开了应用程序与winsock之间的连接,而且没有恢复病毒修改的一些系统信息,所以有可能出现病毒清除了,但系统无法使用。
防病毒软件担负着清除病毒的责任,它之所以不能成功清除病毒,关键还是没有很好地理解这些病毒的工作机制,只有清楚了解其机制,才能有效清除相毒,
并使系统正常工作。
病毒后遗症处理:
注:杀除病毒的责任只能交由防病毒厂家去处理,本文仅对病毒清除后留下的后遗症给出相应的解决办法。本文章所用方法适合于windows XP/Windows 2003操作系统。
A、对于windows XP未安装SP2版
要在未安装 Windows XP SP2 的情况下修复 Winsock,请删除已损坏的注册表项,然后重新安装 TCP/IP 协议。
要在未安装 Windows XP SP2 的情况下修复 Winsock,请删除已损坏的注册表项,然后重新安装 TCP/IP 协议。
步骤 1:删除已损坏的注册表项
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可
以解决这些问题。修改注册表需要您自担风险。
有关如何备份注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 (http://support.microsoft.com/kb/322756/) 如何在 Windows XP 和 Windows Server 2003 中备份、编辑和还原注册表
1). 单击“开始”,然后单击“运行”。
2). 在“打开”框中,键入 regedit,然后单击“确定”。
3). 在注册表编辑器中,找到下列项,右键单击各项,然后单击“删除”:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
4). 在系统提示您确认删除时,单击“是”。
注意:删除 Winsock 项后,请重新启动计算机。这样做可以让 Windows XP 操作系统为这两个项创建新的 shell 条目。如果在删除 Winsock 项后没有重新启动
322756 (http://support.microsoft.com/kb/322756/) 如何在 Windows XP 和 Windows Server 2003 中备份、编辑和还原注册表
1). 单击“开始”,然后单击“运行”。
2). 在“打开”框中,键入 regedit,然后单击“确定”。
3). 在注册表编辑器中,找到下列项,右键单击各项,然后单击“删除”:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
4). 在系统提示您确认删除时,单击“是”。
注意:删除 Winsock 项后,请重新启动计算机。这样做可以让 Windows XP 操作系统为这两个项创建新的 shell 条目。如果在删除 Winsock 项后没有重新启动
计算机,则下一步无法正常进行。
步骤 2:安装 TCP/IP
1). 右键单击网络连接,然后单击“属性”。
2). 单击“安装”。
3). 单击“协议”,然后单击“添加”。
4). 单击“从磁盘安装”。
5). 键入 C:\Windows\inf,然后单击“确定”。
6). 在可用协议列表中,单击“Internet 协议(TCP/IP)”,然后单击“确定”。
7). 重新启动计算机。
1). 右键单击网络连接,然后单击“属性”。
2). 单击“安装”。
3). 单击“协议”,然后单击“添加”。
4). 单击“从磁盘安装”。
5). 键入 C:\Windows\inf,然后单击“确定”。
6). 在可用协议列表中,单击“Internet 协议(TCP/IP)”,然后单击“确定”。
7). 重新启动计算机。
B、对于windows XP已经安装SP2版
要在已安装 Windows XP Service Pack 2 (SP2) 的情况下修复 Winsock,请在命令提示符处键入 netsh winsock reset,然后按 Enter。
要在已安装 Windows XP Service Pack 2 (SP2) 的情况下修复 Winsock,请在命令提示符处键入 netsh winsock reset,然后按 Enter。
注意:运行此命令后请重新启动计算机。另外,对于运行 Windows XP SP2 的计算机,可以使用新的 netsh 命令来重建 Winsock 项。有关更多信息,请访问下
面的网站:
http://www.microsoft.com/china/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx
http://www.microsoft.com/china/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx
(http://www.microsoft.com/china/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx)
警告:在运行 netsh winsock reset 命令时,访问或监视 Internet 的程序(如防病毒程序、防火墙或代理客户端)可能会受到不良影响。如果使用此解决方案
警告:在运行 netsh winsock reset 命令时,访问或监视 Internet 的程序(如防病毒程序、防火墙或代理客户端)可能会受到不良影响。如果使用此解决方案
后某个程序无法正常工作,请重新安装该程序以恢复功能。
注意:如果这些步骤无法解决问题,请按不带有SP2的XP的修复方法。
C、Windows 2003操作系统
要解决此问题,请删除已损坏的注册表项,然后重新安装 TCP/IP 协议。
要解决此问题,请删除已损坏的注册表项,然后重新安装 TCP/IP 协议。
要删除已损坏的注册表项,请按照下列步骤操作。
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册
表编辑器需要您自担风险。 1. 重新启动域控制器。
2. 当显示 BIOS 信息时,按 F8。
3. 选择“目录服务还原模式”,然后按 Enter。
4. 使用“目录服务还原模式”密码登录。
5. 单击“开始”,然后单击“运行”。
6. 在“打开”框中,键入 regedit,然后单击“确定”。
7. 找到以下注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
8. 右键单击各项,然后单击“删除”。
9. 单击“是”,确认删除各项。
10. 关闭 Regedit。
11. 在 %winroot%\inf 中找到 Nettcpip.inf 文件,然后在记事本中打开该文件。
12. 找到“[MS-TCPIP.PrimaryInstall]”节。
13. 编辑“Characteristics = 0xa0”项,将“0xa0”替换为“0x80”。
14. 保存该文件,然后退出记事本。
15. 在“控制面板”中,双击“网络连接”,右键单击“本地连接”,然后选择“属性”。
16. 在“常规”选项卡上,单击“安装”,选择“协议”,然后单击“添加”。
17. 在“选择网络协议”窗口中,单击“从磁盘安装”。
18. 在“厂商文件复制来源:”文本框中,键入 c:\windows\inf,然后单击“确定”。
19. 选择“Internet 协议(TCP/IP)”,然后单击“确定”。
2. 当显示 BIOS 信息时,按 F8。
3. 选择“目录服务还原模式”,然后按 Enter。
4. 使用“目录服务还原模式”密码登录。
5. 单击“开始”,然后单击“运行”。
6. 在“打开”框中,键入 regedit,然后单击“确定”。
7. 找到以下注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
8. 右键单击各项,然后单击“删除”。
9. 单击“是”,确认删除各项。
10. 关闭 Regedit。
11. 在 %winroot%\inf 中找到 Nettcpip.inf 文件,然后在记事本中打开该文件。
12. 找到“[MS-TCPIP.PrimaryInstall]”节。
13. 编辑“Characteristics = 0xa0”项,将“0xa0”替换为“0x80”。
14. 保存该文件,然后退出记事本。
15. 在“控制面板”中,双击“网络连接”,右键单击“本地连接”,然后选择“属性”。
16. 在“常规”选项卡上,单击“安装”,选择“协议”,然后单击“添加”。
17. 在“选择网络协议”窗口中,单击“从磁盘安装”。
18. 在“厂商文件复制来源:”文本框中,键入 c:\windows\inf,然后单击“确定”。
19. 选择“Internet 协议(TCP/IP)”,然后单击“确定”。
注意:此步骤将让您返回到“本地连接属性”屏幕,但现在“卸载”按钮可用。
20. 选择“Internet 协议(TCP/IP)”,单击“卸载”,然后单击“是”。
21. 重新启动计算机,然后按照步骤 2 至步骤 4 中的说明选择“目录服务还原模式”。
22. 在“控制面板”中,双击“网络连接”,右键单击“本地连接”,然后选择“属性”。
23. 在“常规”选项卡上,单击“安装”,选择“协议”,然后单击“添加”。
24. 在“选择网络协议”窗口中,单击“从磁盘安装”。
25. 在“厂商文件复制来源”文本框中,键入 c:\windows\inf,然后单击“确定”。
26. 选择“Internet 协议(TCP/IP)”,然后单击“确定”。
27. 重新启动计算机。
重新安装了 TCP/IP 后,请安装 Microsoft Windows 支持工具,然后运行 Netdiag 和 Dcdiag 工具来验证域控制器已正常工作。为此,请按照下列步骤操作:
20. 选择“Internet 协议(TCP/IP)”,单击“卸载”,然后单击“是”。
21. 重新启动计算机,然后按照步骤 2 至步骤 4 中的说明选择“目录服务还原模式”。
22. 在“控制面板”中,双击“网络连接”,右键单击“本地连接”,然后选择“属性”。
23. 在“常规”选项卡上,单击“安装”,选择“协议”,然后单击“添加”。
24. 在“选择网络协议”窗口中,单击“从磁盘安装”。
25. 在“厂商文件复制来源”文本框中,键入 c:\windows\inf,然后单击“确定”。
26. 选择“Internet 协议(TCP/IP)”,然后单击“确定”。
27. 重新启动计算机。
重新安装了 TCP/IP 后,请安装 Microsoft Windows 支持工具,然后运行 Netdiag 和 Dcdiag 工具来验证域控制器已正常工作。为此,请按照下列步骤操作:
1. 将 Windows Server 2003 CD-ROM 插入到计算机的 CD-ROM 或 DVD-ROM 驱动器中。
2. 单击“开始”,单击“运行”,键入“DriveLetter:\Support\Tools\suptools.msi”(其中,DriveLetter 是您的 CD-ROM 或 DVD-ROM 驱动器),然后单击
2. 单击“开始”,单击“运行”,键入“DriveLetter:\Support\Tools\suptools.msi”(其中,DriveLetter 是您的 CD-ROM 或 DVD-ROM 驱动器),然后单击
“确定”。
3. 按照屏幕上的说明完成 Windows 支持工具的安装。
4. 在命令提示符处,定位到安装 Support Tools 的文件夹。默认情况下,此文件夹为 C:\Program Files\Support Tools。
5. 键入 dcdiag /v,以进行域控制器诊断,并随后对任何错误进行处理。
6. 键入 netdiag /v,以进行网络诊断,并随后对任何错误进行处理。
3. 按照屏幕上的说明完成 Windows 支持工具的安装。
4. 在命令提示符处,定位到安装 Support Tools 的文件夹。默认情况下,此文件夹为 C:\Program Files\Support Tools。
5. 键入 dcdiag /v,以进行域控制器诊断,并随后对任何错误进行处理。
6. 键入 netdiag /v,以进行网络诊断,并随后对任何错误进行处理。
D、借助其它工具
这里就要提到LSPFix.exe和winsockxpfix.exe,它们的下载页面为
http://www.winsockfix.nl
LSPFix.exe在置顶贴中的反病毒常用工具里有下载
http://www.winsockfix.nl
LSPFix.exe在置顶贴中的反病毒常用工具里有下载
拿LSPFix.exe来说,打开界面
勾选“I know what I'm doing”
再看下边,左右两个框框,分别为Keep和Remove
确定左边出问题的dll文件,然后点两个框框之间的>>,进行Remove
然后重新启动电脑,问题得到解决。
反之:如果遇到移除错误,可以点两个框框之间的<<,进行Keep
转载于:https://blog.51cto.com/513473/394597
winsock类型病毒后遗症处理相关推荐
- 《Nature》重磅 | 研究员利用机器学习发现近 6000 种未知病毒
作者:李雨晨 <Nature>杂志近日发布消息称,研究人员利用人工智能发现了近6000种未知的病毒.这项工作是在3月15日由美国能源部(DOE)组织的一次会议上提出的,它展示了一种探索地球 ...
- 计算机病毒是什么文件形式,【文件病毒】文件病毒的格式、危害、特点_什么是文件病毒_佰佰安全网...
文件型病毒系计算机病毒的一种,主要通过感染计算机中的可执行文件和命令文件.文件型病毒是对计算机的源文件进行修改,使其成为新的带毒文件.一旦计算机运行该文件就会被感染,从而达到传播的目的.文件型病毒分两 ...
- 一种文件捆绑型病毒研究
一种文件捆绑型病毒研究 宁 轲 (广西职业技术学院 广西 南宁 530226) 摘 要: 文件捆绑型计算机病毒具有隐蔽性高.传播速度快和破坏力强等特点,早些年出现的威金病毒和熊猫烧香病毒都属于文件捆绑 ...
- 什么是勒索病毒?有哪些危害?如何预防?
勒索病毒是泛指一切通过锁定被感染者计算机系统或文件并施以敲诈勒索的新型计算机病毒,通过计算机漏洞.邮件投递.恶意木马程序.网页后门等方式进行传播,一旦感染,磁盘上几乎所有格式的文件都会被加密,造成企业 ...
- linux服务器中病毒后的清除处理
linux服务器中病毒后的清除处理 之前看到公司同事在部署服务器的时候,发现中了挖矿病毒,很是恼火.因为我平时很少接触服务器,一般都是部署项目,配置域名就完事.所以遇到这种情况,只能在一旁看着干着急. ...
- 服务器受到勒索病毒威胁我们要怎么处理?
经常会有客户服务器业务被攻击,也有可能会遇到到勒索病毒威胁那我们应该怎么处理呢? 首先我们需要了解什么是勒索病毒,重点讲解对勒索病毒的原理和危害.然后再去讲中了勒索病毒怎么去解决,这样就会让面试官觉得 ...
- android会中病毒吗,安卓手机浏览网页中病毒几率多大
手机病毒作为一种新兴类型病毒在现今手机用户中迅速发展,尤其是我国进入4G网络之后,高带宽的手机通信传输网络为手机病毒的.传播都供了温床.那么,安卓手机浏览网页中病毒几率多大那?就让佰佰安全网的小编和你 ...
- Crysis勒索病毒中毒经历及漏洞查堵[勒索邮箱openpgp@foxmail.com]
Crysis 勒索病毒中毒经历及漏洞查堵[勒索邮箱openpgp@foxmail.com] 发现中毒 出现空白快捷方式图标 文件后缀改变 确认中毒 处理病毒 断网 排查病毒 定位病毒 查堵漏洞 确定时 ...
- 病毒木马查杀的问与答
1 哪种类型病毒难以处理 感染性的病毒,因为这种病毒会破坏文件系统,而如果要恢复文件系统就需要对病毒进行逆向分析.如果是普通的病毒感染,不需要进行逆向分析,就可以编写出来专杀软件. 2 对病毒进行分析 ...
- 2006年重大病毒木马事件大阅兵
2006病毒木马整体特点 据金山毒霸全球反病毒监测中心资料记裁,其在上半年共捕获85552种病毒,其中的急性.恶性病毒为37735种,占44.1%.与往年相比,这个数量已经超过了近两年的病毒总 ...
最新文章
- 每日一皮:单身狗的悲哀...
- python处理文件夹_python文件及文件夹操作
- 2018年第九届蓝桥杯—C/C++程序设计省赛解题
- Serverless实战 —— 使用 Wintersmith + Serverless Framework 快速创建个人站点
- 基础 | numpy ndarray 之内功心法,理解高维操作!
- 基于JAVA+SpringMVC+Mybatis+MYSQL的理发预约系统
- asp.net 基础(一)
- 智慧校园的关键技术:云计算+物联网+大数据
- java 11下载_jdk11版
- 知其然,知其所以然 方是学习的最好态度
- android 打apk文件怎么打开方式,apk文件怎么打开
- linux u盘 写保护,高手分享U盘被写保护的解决方案
- 数模学习(七)--- 多元线性回归
- WPS表格2013怎么进行数据合并计算将多个区域进行合并计算
- OTL,OCL,BTL电路的性能特点和差别
- 不学c语言能学mysql吗_学C语言难不难?以及简说数据库
- 使用POI读取EXCEL模板并填充数据,上传至腾讯云储存桶
- #9733;思维导图的30个问答
- OBS捕捉桌面显示器一直是黑屏怎么办?
- 电子围栏在化工厂定位系统中的应用,化工厂精确定位,减少损失-新导智能