電腦反應慢，不能瀏覽網頁……檢修~

endurer 原創

2006-10-15 第1版

昨晚，一位同事說他的電腦反應慢，可以玩網遊，但不能瀏覽網頁……讓我幫忙檢查。

該電腦使用的是Win XP SP2，裝有江民KV2006殺毒軟體 和 Outpost防火牆。

進入案頭後系統反應確實慢，開啟工作管理員，看到cpu使用率100%，檢查進程列表，發現有名為RUNDLL.EXE和Update.exe的進程，終止它們，系統反應正常。

ping www.163.com，正常，網路是通的。

想從網上下載軟體分析系統，但無法瀏覽網頁。

鑒於江民KV2006的不穩定性，網頁監控有經常導致網頁無法瀏覽的“傳統”，於是把江民KV即時監控關了，還是不行。

到控制台檢查“添加刪除程式”，發現了Desktop Media，MMSAssist（多媒體訊息）、webwork、雅虎助手等流氓軟體。

由於Desktop Media會掛接Winsock LSP（在HijackThis的log中會報為O10項），殺毒軟體如果殺了掛接的檔案，但沒有修複Winsock LSP，則無法網頁（可參考：解決快顯視窗及AdWare.HBang（第5版），http://endurer.bokee.com/4466883.html）

嘗試卸載Desktop Media，但沒有成功……

想上QQ，請網友把所需軟體傳過來，但QQ登入也不成功……

重啟電腦到帶網路連接的安全模式，

開啟命令提示字元，輸入並執行命令：ipconfig.exe /all > c:/net.txt，把當前網路設定資訊儲存到檔案c:/net.txt中。

開啟登錄編輯程式，到

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Network]

先匯出備份為network.reg，再刪除兩個與TCP/IP和當前網路連接有關的鍵。

到硬體管理器裡卸載了網卡。

重新啟動電腦，系統提示發現網卡，但找不到網路卡驅動程式，沒有顯示工作列和案頭表徵圖，按 Ctrl+Alt+Del 開啟工作管理員，用菜單：檔案->新任務，找到剛才備份的network.reg，匯入註冊表，重啟電腦。
這次可以正常進入案頭，但網卡仍然因為沒有找到驅動程式而未工作，開啟先前儲存網路設定資訊的檔案c:/net.txt，按裡面的網卡類型手動選擇驅動程式安裝……OK！

終於可以瀏覽網頁了！

到 http://endurer.ys168.com 下載 fix_ie.bat，LSPFix.exe，HijackThis，IceSword，，瑞星殺毒助手 for Win 2000以上版本，下次啟動時刪除檔案程式auto_del。
到 http://purpleendurer.ys168.com  下載 檔案批處理器 bat_do。
到瑞星網站下載瑞星註冊表修複工具。

先運行瑞星註冊表修複工具，未發現異常項目。

運行LSPFix.exe，未發現Desktop Media掛接LSP的項目。

運行 Hijackthis 掃描log，發現以下可疑項目：

/------------------
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:

C:/WINDOWS/SYSTEM32/RUNDLL.EXE

C:/Program Files/Common Files/update2/Update.exe

O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:/Documents and Settings/All Users/Application Data/Microsoft/UserData/IEHelper_5001.dll

O2 - BHO: raObject Class - {46F194EB-B7DB-4B7A-BD42-5FF39FD17664} - C:/PROGRA~1/pcast/hbcast.dll

O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:/PROGRA~1/MMSASS~1/mmsass~1.dll

O2 - BHO: (no name) - {D83D38CF-77AE-4611-9EDE-72D910610236} - C:/WINDOWS/system32/sys32version.dll

O4 - HKLM/../Run: [NewRmtService ] C:/Program Files/NewRemoteControl/NewRmtService.exe

O4 - HKLM/../Run: [Update] C:/Program Files/Common Files/update2/Update.exe

O4 - HKLM/../Run: [RichMedia] C:/WINDOWS/system32/Rundll32.exe  "C:/PROGRA~1/pcast/hbcast.dll",WaitWindows

O4 - HKCU/../Run: [bgswitch] C:/WINDOWS/system32/bgswitch.exe

O8 - Extra context menu item: >>多媒體訊息發送<< - res://C:/PROGRA~1/MMSASS~1/mmsass~1.dll/mms.htm

O20 - Winlogon Notify: skwinlogon - C:/WINDOWS/SYSTEM32/dll.dll

O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:/WINDOWS/webwork/webwork.dll
-----------/

卸載：MMSAssist（多媒體訊息）、webwork、雅虎助手等流氓軟體。

用WinRAR檢查 c:/windows 和 c:/windows/system32，發現以下可疑檔案：

/-----------------
DLL.dll
IE.exe（Kaspersky 報為 Trojan-Spy.Win32.Agent.ct，http://www.viruslist.com/en/find?words=Trojan-Spy.Win32.Agent.ct）
rundll.exe
rundll32.exe（表徵圖是張白紙）
sys32version.dll（Kaspersky 報為 Trojan-Clicker.Win32.BHO.f，http://www.viruslist.com/en/find?words=Trojan-Clicker.Win32.BHO.f；瑞星 報為 Trojan.DL.Agent.xec）
cnt.exe（Kaspersky 報為 Trojan-Clicker.Win32.BHO.f）
update21.exe
update31.exe
update41.exe
……（都是update?1.exe，略了）
update111.exe
usercrd.dll（Kaspersky 報為 not-a-virus:AdWare.Win32.Ncast.d，http://www.viruslist.com/en/find?words=not-a-virus:AdWare.Win32.Ncast.d）
------------------/

都拖到bat_do程式視窗中，在檔案清單中都鉤上
把“用RAR壓縮”鉤上，輸入解壓密碼，設定壓縮檔存放的位置為d:/virus
把“設定屬性”鉤上
把“改名”鉤上
點擊[產生命令]按鈕和[執行命令]按鈕

運行瑞星殺毒助手，使用瑞星線上免費掃描c:/windows，發現c:/windows/system32/sys32version.dll為 Trojan.DL.Agent.xec
使用瑞星線上免費掃描c:/Documents and Settings，發現IE臨時檔案夾中的Install.exe 為 Dropper.Agent.dxr（Kaspersky 報為  not-a-virus：AdWare.Win32.Softomate.u，http://www.viruslist.com/en/find?words=not-a-virus:AdWare.Win32.Softomate.u ）。

都用瑞星殺毒助手處理了。

用HijackThis掃描並修複上面所列的項目。

清空IE臨時檔案夾