史萊姆論壇 - 查看單個文章

psac · 2006-03-28, 09:32 AM

案例:

Q:壞疑中毒...經使用HijackThis掃描....
Logfile of HijackThis v1.98.2
Scan saved at 22:07:46, on 2004-12-22
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesTencentqQQ2004QQ.exe
C

ocuments and SettingsbunnyMy Documents11hijackthisHijackThis.exe

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSSystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OBrealsched.exe" -osboot
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe
O8 - Extra context menu item: 使用網際快車下載 - D:Program FilesFlashGetjc_link.htm
O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://D:PROGRA~1MICROS~1Office10EXCEL.EXE/3000
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - (no file)
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - (no file)
O10 - Unknown file in Winsock LSP: c:windowssystem32ws2_64.dll
O10 - Unknown file in Winsock LSP: c:windowssystem32ws2_64.dll
O17 - HKLMSystemCCSServicesTcpip..{24B04453-44DA-41F1-AE26-1EADFAA4E2C8}: NameServer = 211.98.2.4 211.98.4.1

另外此電腦上D碟下有個Microsoft資料夾（D：MicrosoftIMEwinabc）移除以後下次開機又出現了不知道這是什麼

內容是指文件的新增日期、修改日期、大小、版本==的訊息~~~
下載後。按照做。然後貼新LOG。。。。。

A:

你說的不能上網的原因分析說明如下,可能原因的產生會有如此現象:
1)、系統WINSOCK通訊元件故障
盜版的XP更新修正檔造成、不正常的系統還原造成、清除某些病毒後的後遺症等等，2000、XP操作：開始-執行-輸入「sfc /scannow」--確定！98則開始-執行-輸入「sfc」--確定！需要插入系統安裝光碟。或用：「winsock fix」這個軟體修復！也就如我上面提供下載的功能基本一樣；
2)、域名、DNS伺服器解釋出現錯誤、代理伺服器問題
部分病毒會修改Hosts文件以遮閉部分網站，在「c:\windows\system32\drivers\etc」下，用記事本開啟，一般：「127.0.0.1 Localhost」以下的內容可以移除！如Hosts正常，則可能是DNS、代理設定問題，可能是你設定的位址已經停用、故障等等，可設定為自動，也可把路由器關一會再開，或者重新設定路由器。或者是網路卡無法自動搜尋到DNS的伺服器位址，可以嘗試用指定的DNS伺服器位址。在網路的內容裡進行，（控制台—網路和拔號連接—本機連接—右鍵內容—TCP/IP傳輸協定—內容—使用下面的DNS伺服器位址），不同的ISP有不同的DNS位址，如電信常用的是202.96.134.133(主用) 202.96.128.68（備用）。代理伺服器問題：重新設定新的可用的；
3)、IE瀏覽器遭破壞--如別的瀏覽器可以上網的話！重新安裝IE；
4)、病毒問題：......殺毒!
5)、系統內有其他殺毒軟體未卸載或未卸載乾淨，防火牆衝突，請卸載。（網鏢、東方等未卸載的話可能衝突）

以搜尋別人!也遇到了這樣的問題，它玩即魔獸（寒冰王座）中搜尋到了別人的伺服器，但是點擊加入的時候所有伺服器都提示：無法加入指定的伺服器。
那麼請接著往下看，如果不是這樣的情況，即有部分伺服器可以加入，那就不是windows tc/ip通信有問題....那麼本文所述情況可就能不適合你...

問題主要是由傳奇盜號木馬（或者奇跡等其他遊戲）引起的，該木馬在中毒電腦上表現形式為 windows\system32目錄下有一個ws2_64.dll文件檔，並且修改註冊表接管系統所有tcp使用，並從中過濾用戶帳號密碼訊息達到盜號效果。剛好因為病毒編寫的不完善，因此對平台的魔獸玩家造成了影響。

解決方法如下：
1、首先去c:\windows\system32目錄下檢查系統中是否有 ws2_64.dll文件，如果有，那麼可以確定是中了這個木馬。如果你的windows安裝在d:\那麼就是d:\windows\system32目錄，以此類推。

請注意:ws2_32.dll是正常的系統檔案！你千萬不要給它誤刪！

2、先把下面這個叫Winsock XP Fix的工具下載到桌面上，你可能需要用到它
下載位址： Winsock XP Fix!看接續所說明的....

3、把下面這個叫LSPFIX的工具也已經你下載到桌面上
下載位址：
Lspfix.exe

4、斷掉所有網路連接。 (一定要通信斷網)

5、執行LSPFix.exe文件，選選項「I Know What I』』m Doing」，然後把左面視窗裡的ws2_64.dll文件移到右面視窗裡（不要動其他文件），然後選「Finish」完成。

6、執行結束後重新啟動電腦按F8進安全模式手動移除：
c:\windows\system32\ws2_64.dll 〈--文件（這個文件是偷傳奇號的病毒）
如果系統提示無法移除，試試這個方法，點擊「開始」--〉cmd 所有程式--〉附件--〉命令提示字元--〉在彈出的視窗輸入以下指令：

cd C:\windows\system32 （Enter鍵）
attrib -a -s -h -r ws2_64.dll （Enter鍵）
del ws2_64.dll （Enter鍵）
鍵打 exit 離開（Enter鍵）

7、重新啟動電腦正常進入windows，如果有上網打不開網頁的現象，執行最開始下載的那個winsock XP Fix工具，執行後選「Fix」，修復後重新啟動一下電腦。
，經平台玩家測試是有效。

此操作方法對於系統當然有一定的危險性，建議對電腦操作沒有信心的玩家最好找比較懂電腦的朋友指導一下。

∼∼http://www.snapfiles.com/get/winsockxpfix.html

下載修復工具....winsockxpfix.

接續說明這小程式的功能.....
工具的適用範圍....譬現大家常在自電腦上安裝了!
Spyware & Ad-Ware 這類廣告欄截軟體程式,本如unsinatall...
它自身也無意中倒你一的招之禍無法完全卸解，以至於常需費了九牛二虎之力，如要清除干淨返你原形。
或是由於安裝執行了幾個反間諜軟體，用這些軟體掃瞄的時候，會修改網路設定，去除Spyware & Ad-Ware之後，留下了一個惱人的問題：有些網路應用出問題了（比如：不能通過IM給別人傳送文件），而不知道怎麼恢復。一個叫 WinSock XP Fix 的軟體批掛上身為你服務，我們從其介紹，覺得用這個東西應該他可以修復網路連接的問題，就當下載後並執行之，修復結束並重啟機器之後，能夠使你的網路果然恢復正常！

有了這次經歷，知道這東西有用，所以留個電腦留存它一份新版隨時可使用方便。

WinSock XP Fix 可從這兒下載： free software

WinSock XP Fix offers a last resort if your Internet connectivity has been corrupted due to invalid or removed registry entries.

It can often cure the problem of lost connections after the removal of Adware components or improper uninstall of firewall applications or other tools that modify the XP network and Winsock settings.

If you encounter connection problems after removing network related software, Adware or after registry clean-up; and all other ways fail, then give WinSock XP Fix a try.

It can create a registry backup of your current settings, so it is fairly safe to use. We actually tested it on a test machine that was having a Winsock problem due to some Adware removal, and after running the utility and rebooting, the connectivity was restored.

http://download.softpedia.com/softwa...nsockXPFix.exe

http://images.snapfiles.com/screenfiles/winsockxpfix.gif

LSPFix.exe

LSPFix.exe這個軟體主要用來輔助修復HijackThis掃瞄發現的O10項。
使用時，請關閉所有IE介面和資料夾介面後執行LSPFix，執行後，把要修復的那一個O10項從左邊轉到右邊，點「Finish」即可。（不過這之前，需要在「I know what I`m doing」前面打勾。）

照下步驟做....

1、偷傳奇密碼的病毒。把下面這個叫LSPFIX的工具下載到桌面上：
http://cexx.org/LSPFix.exe
winsock修復工具：
http://tntmax.com/Download/Software/WinsockXPFix.exe
2、斷掉網路連接。
3、執行前面下載的LSPFix.exe工具，選選項「I Know What I'm Doing」，然後把左面視窗裡的ws2_64.dll文件移到右面視窗裡（不要動其他文件），然後選「Finish」。
4、執行結束後重新啟動電腦按F8進安全模式，設定windows顯示所有隱藏文件，手動移除：
c:windowssystem32ws2_64.dll<--文件
如果系統提示無法移除ws2_64.dll文件，點擊「開始」--所有程式--附件--命令提示字元--在彈出的視窗輸入以下指令：
cd c:windowssystem32（Enter鍵）
attrib -a -s -h -r ws2_64.dll （Enter鍵）
del ws2_64.dll （Enter鍵）
exit （Enter鍵）
執行winsockxpfix修復工具後點「Fix」，然後重啟一下電腦。

查D：MicrosoftIMEwinabc的內容後發上來。

MicrosoftIMEwinabc　後再以在安全模式下刪掉了

LOG顯示正常應該如下log

新的LOG如下:
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:Program FilesCommon FilesRealUpdate_OBrealsched.exe
C:WINDOWSSystem32ctfmon.exe
C

ocuments and Settingsbunny桌面HijackThis.exe
C:WINDOWSSystem32svchost.exe
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSSystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OBrealsched.exe" -osboot
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe
O8 - Extra context menu item: 使用網際快車下載 - D:Program FilesFlashGetjc_link.htm
O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://D:PROGRA~1MICROS~1Office10EXCEL.EXE/3000
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:WINDOWSSystem32shdocvw.dll
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:WINDOWSSystem32shdocvw.dll
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:WINDOWSsystem32urlmon.dll
O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:Program FilesCommon FilesMicrosoft SharedWeb FoldersPKMCDO.DLL
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:WINDOWSSystem32msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:WINDOWSSystem32itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:WINDOWSSystem32inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:WINDOWSSystem32itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:PROGRA~1COMMON~1MICROS~1WEBCOM~110OWC10.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:WINDOWSSystem32mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:WINDOWSSystem32msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:WINDOWSSystem32msdxm.ocx
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:WINDOWSSystem32wiascr.dll

2006-03-28, 09:32 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	HijackThis掃瞄發現的O10項修復工具與過程! 案例: Q:壞疑中毒...經使用HijackThis掃描.... Logfile of HijackThis v1.98.2 Scan saved at 22:07:46, on 2004-12-22 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:Program FilesCommon FilesRealUpdate_OBrealsched.exe C:WINDOWSSystem32ctfmon.exe C:Program FilesTencentqQQ2004QQ.exe Cocuments and SettingsbunnyMy Documents11hijackthisHijackThis.exe O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSSystem32IMETINTLGNTTINTSETP.EXE /SYNC O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OBrealsched.exe" -osboot O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe O8 - Extra context menu item: 使用網際快車下載 - D:Program FilesFlashGetjc_link.htm O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://D:PROGRA~1MICROS~1Office10EXCEL.EXE/3000 O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - (no file) O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - (no file) O10 - Unknown file in Winsock LSP: c:windowssystem32ws2_64.dll O10 - Unknown file in Winsock LSP: c:windowssystem32ws2_64.dll O17 - HKLMSystemCCSServicesTcpip..{24B04453-44DA-41F1-AE26-1EADFAA4E2C8}: NameServer = 211.98.2.4 211.98.4.1 另外此電腦上D碟下有個Microsoft資料夾（D：MicrosoftIMEwinabc）移除以後下次開機又出現了不知道這是什麼內容是指文件的新增日期、修改日期、大小、版本==的訊息~~~ 下載後。按照做。然後貼新LOG。。。。。 A: 你說的不能上網的原因分析說明如下,可能原因的產生會有如此現象: 1)、系統WINSOCK通訊元件故障盜版的XP更新修正檔造成、不正常的系統還原造成、清除某些病毒後的後遺症等等，2000、XP操作：開始-執行-輸入「sfc /scannow」--確定！98則開始-執行-輸入「sfc」--確定！需要插入系統安裝光碟。或用：「winsock fix」這個軟體修復！也就如我上面提供下載的功能基本一樣； 2)、域名、DNS伺服器解釋出現錯誤、代理伺服器問題部分病毒會修改Hosts文件以遮閉部分網站，在「c:\windows\system32\drivers\etc」下，用記事本開啟，一般：「127.0.0.1 Localhost」以下的內容可以移除！如Hosts正常，則可能是DNS、代理設定問題，可能是你設定的位址已經停用、故障等等，可設定為自動，也可把路由器關一會再開，或者重新設定路由器。或者是網路卡無法自動搜尋到DNS的伺服器位址，可以嘗試用指定的DNS伺服器位址。在網路的內容裡進行，（控制台—網路和拔號連接—本機連接—右鍵內容—TCP/IP傳輸協定—內容—使用下面的DNS伺服器位址），不同的ISP有不同的DNS位址，如電信常用的是202.96.134.133(主用) 202.96.128.68（備用）。代理伺服器問題：重新設定新的可用的； 3)、IE瀏覽器遭破壞--如別的瀏覽器可以上網的話！重新安裝IE； 4)、病毒問題：......殺毒! 5)、系統內有其他殺毒軟體未卸載或未卸載乾淨，防火牆衝突，請卸載。（網鏢、東方等未卸載的話可能衝突）以搜尋別人!也遇到了這樣的問題，它玩即魔獸（寒冰王座）中搜尋到了別人的伺服器，但是點擊加入的時候所有伺服器都提示：無法加入指定的伺服器。那麼請接著往下看，如果不是這樣的情況，即有部分伺服器可以加入，那就不是windows tc/ip通信有問題....那麼本文所述情況可就能不適合你... 問題主要是由傳奇盜號木馬（或者奇跡等其他遊戲）引起的，該木馬在中毒電腦上表現形式為 windows\system32目錄下有一個ws2_64.dll文件檔，並且修改註冊表接管系統所有tcp使用，並從中過濾用戶帳號密碼訊息達到盜號效果。剛好因為病毒編寫的不完善，因此對平台的魔獸玩家造成了影響。解決方法如下： 1、首先去c:\windows\system32目錄下檢查系統中是否有 ws2_64.dll文件，如果有，那麼可以確定是中了這個木馬。如果你的windows安裝在d:\那麼就是d:\windows\system32目錄，以此類推。請注意:ws2_32.dll是正常的系統檔案！你千萬不要給它誤刪！ 2、先把下面這個叫Winsock XP Fix的工具下載到桌面上，你可能需要用到它下載位址： Winsock XP Fix!看接續所說明的.... 3、把下面這個叫LSPFIX的工具也已經你下載到桌面上下載位址： Lspfix.exe 4、斷掉所有網路連接。 (一定要通信斷網) 5、執行LSPFix.exe文件，選選項「I Know What I』』m Doing」，然後把左面視窗裡的ws2_64.dll文件移到右面視窗裡（不要動其他文件），然後選「Finish」完成。 6、執行結束後重新啟動電腦按F8進安全模式手動移除： c:\windows\system32\ws2_64.dll 〈--文件（這個文件是偷傳奇號的病毒）如果系統提示無法移除，試試這個方法，點擊「開始」--〉cmd 所有程式--〉附件--〉命令提示字元--〉在彈出的視窗輸入以下指令： cd C:\windows\system32 （Enter鍵） attrib -a -s -h -r ws2_64.dll （Enter鍵） del ws2_64.dll （Enter鍵）鍵打 exit 離開（Enter鍵） 7、重新啟動電腦正常進入windows，如果有上網打不開網頁的現象，執行最開始下載的那個winsock XP Fix工具，執行後選「Fix」，修復後重新啟動一下電腦。，經平台玩家測試是有效。此操作方法對於系統當然有一定的危險性，建議對電腦操作沒有信心的玩家最好找比較懂電腦的朋友指導一下。 ∼∼http://www.snapfiles.com/get/winsockxpfix.html 下載修復工具....winsockxpfix. 接續說明這小程式的功能..... 工具的適用範圍....譬現大家常在自電腦上安裝了! Spyware & Ad-Ware 這類廣告欄截軟體程式,本如unsinatall... 它自身也無意中倒你一的招之禍無法完全卸解，以至於常需費了九牛二虎之力，如要清除干淨返你原形。或是由於安裝執行了幾個反間諜軟體，用這些軟體掃瞄的時候，會修改網路設定，去除Spyware & Ad-Ware之後，留下了一個惱人的問題：有些網路應用出問題了（比如：不能通過IM給別人傳送文件），而不知道怎麼恢復。一個叫 WinSock XP Fix 的軟體批掛上身為你服務，我們從其介紹，覺得用這個東西應該他可以修復網路連接的問題，就當下載後並執行之，修復結束並重啟機器之後，能夠使你的網路果然恢復正常！有了這次經歷，知道這東西有用，所以留個電腦留存它一份新版隨時可使用方便。 WinSock XP Fix 可從這兒下載： free software WinSock XP Fix offers a last resort if your Internet connectivity has been corrupted due to invalid or removed registry entries. It can often cure the problem of lost connections after the removal of Adware components or improper uninstall of firewall applications or other tools that modify the XP network and Winsock settings. If you encounter connection problems after removing network related software, Adware or after registry clean-up; and all other ways fail, then give WinSock XP Fix a try. It can create a registry backup of your current settings, so it is fairly safe to use. We actually tested it on a test machine that was having a Winsock problem due to some Adware removal, and after running the utility and rebooting, the connectivity was restored. http://download.softpedia.com/softwa...nsockXPFix.exe LSPFix.exe LSPFix.exe這個軟體主要用來輔助修復HijackThis掃瞄發現的O10項。使用時，請關閉所有IE介面和資料夾介面後執行LSPFix，執行後，把要修復的那一個O10項從左邊轉到右邊，點「Finish」即可。（不過這之前，需要在「I know what I`m doing」前面打勾。）照下步驟做.... 1、偷傳奇密碼的病毒。把下面這個叫LSPFIX的工具下載到桌面上： http://cexx.org/LSPFix.exe winsock修復工具： http://tntmax.com/Download/Software/WinsockXPFix.exe 2、斷掉網路連接。 3、執行前面下載的LSPFix.exe工具，選選項「I Know What I'm Doing」，然後把左面視窗裡的ws2_64.dll文件移到右面視窗裡（不要動其他文件），然後選「Finish」。 4、執行結束後重新啟動電腦按F8進安全模式，設定windows顯示所有隱藏文件，手動移除： c:windowssystem32ws2_64.dll<--文件如果系統提示無法移除ws2_64.dll文件，點擊「開始」--所有程式--附件--命令提示字元--在彈出的視窗輸入以下指令： cd c:windowssystem32（Enter鍵） attrib -a -s -h -r ws2_64.dll （Enter鍵） del ws2_64.dll （Enter鍵） exit （Enter鍵）執行winsockxpfix修復工具後點「Fix」，然後重啟一下電腦。查D：MicrosoftIMEwinabc的內容後發上來。 MicrosoftIMEwinabc　後再以在安全模式下刪掉了 LOG顯示正常應該如下log 新的LOG如下: Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSExplorer.EXE C:Program FilesCommon FilesRealUpdate_OBrealsched.exe C:WINDOWSSystem32ctfmon.exe Cocuments and Settingsbunny桌面HijackThis.exe C:WINDOWSSystem32svchost.exe O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSSystem32IMETINTLGNTTINTSETP.EXE /SYNC O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OBrealsched.exe" -osboot O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSSystem32ctfmon.exe O8 - Extra context menu item: 使用網際快車下載 - D:Program FilesFlashGetjc_link.htm O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://D:PROGRA~1MICROS~1Office10EXCEL.EXE/3000 O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:WINDOWSSystem32shdocvw.dll O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:WINDOWSSystem32shdocvw.dll O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:WINDOWSsystem32urlmon.dll O18 - Protocol: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:Program FilesCommon FilesMicrosoft SharedWeb FoldersPKMCDO.DLL O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:WINDOWSSystem32msvidctl.dll O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll O18 - Protocol: ipp - (no CLSID) - (no file) O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:WINDOWSSystem32itss.dll O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:WINDOWSSystem32inetcomm.dll O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:WINDOWSsystem32urlmon.dll O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:WINDOWSSystem32itss.dll O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:PROGRA~1COMMON~1MICROS~1WEBCOM~110OWC10.DLL O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:WINDOWSSystem32mshtml.dll O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:WINDOWSSystem32msvidctl.dll O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:WINDOWSSystem32mshtml.dll O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:WINDOWSSystem32msdxm.ocx O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:WINDOWSSystem32wiascr.dll
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次