又一来自国内的 malware, watch out!
oogle search 只能找到国内的文章,但不解决问题。McAfee 还不知道它,所以。。。下面是我摸索出的解决方法。
公司:
henbang.net "很棒" -- shit! 他们有个破软件。但是这个病毒不一定在你安装此软件后才有。
症状:
- Windows 启动后会自动联网(如果你是用拨号,极易发觉)。公司声称那是为了让你在第一时间得到最新,shit again!
文件:
under %System32%-:
- winup.exe
- winhtp.dll
- webad.dll
- hap.dll
- had.ini
- win.htm
网上(国内)文章都只提到上面这些文件,但他们只是被衍生出来的。你必须删掉下面两个文件以根除:
under %System32%-drivers-:
- Madbp.sys
- Pupw.sys
registry:
1) HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
- 删掉可疑的 (我在第一次见到这个病毒的痕迹,就立刻把它删了,所以不记得它的值)
2) HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
- helperdll = Rundll32 C:-WIN-system32-drivers-Pupw.sys,Rundll32
3) delete "DownloadValue Class" 616D4040-5712-4F0F-BCF1-5C6420A99E14
- HKEY_CLASSES_ROOT-CLSID-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_CLASSES_ROOT-DownloadStart.DownloadValue
- HKEY_CLASSES_ROOT-DownloadStart.DownloadValue.1
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Ext-Settings-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Ext-Stats-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Browser Helper Objects
4) delete "URLMonitor Class" 3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92
- 会在上面操作中已被删掉
5) delete 315A06D6-FCA7-45EA-B77D-EE7B90041224
- HKEY_CLASSES_ROOT-TypeLib-{315A06D6-FCA7-45EA-B77D-EE7B90041224}
6) delete 1363F829-37F1-4763-9FBA-E8BB564D95EE
- HKEY_CLASSES_ROOT-Interface-{1363F829-37F1-4763-9FBA-E8BB564D95EE}
为保险起见,你可以再搜索以下 keywords:
- winhtp
- pupw.sys