又一来自国内的 malware, watch out!

oogle search 只能找到国内的文章，但不解决问题。McAfee 还不知道它，所以。。。下面是我摸索出的解决方法。


公司：
henbang.net "很棒" -- shit! 他们有个破软件。但是这个病毒不一定在你安装此软件后才有。


症状：
- Windows 启动后会自动联网(如果你是用拨号，极易发觉)。公司声称那是为了让你在第一时间得到最新，shit again!


文件：
under %System32%-:
- winup.exe
- winhtp.dll
- webad.dll
- hap.dll
- had.ini
- win.htm

网上(国内)文章都只提到上面这些文件，但他们只是被衍生出来的。你必须删掉下面两个文件以根除：

under %System32%-drivers-:
- Madbp.sys
- Pupw.sys


registry:
1) HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
- 删掉可疑的 (我在第一次见到这个病毒的痕迹，就立刻把它删了，所以不记得它的值)

2) HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
- helperdll = Rundll32 C:-WIN-system32-drivers-Pupw.sys,Rundll32

3) delete "DownloadValue Class" 616D4040-5712-4F0F-BCF1-5C6420A99E14
- HKEY_CLASSES_ROOT-CLSID-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_CLASSES_ROOT-DownloadStart.DownloadValue
- HKEY_CLASSES_ROOT-DownloadStart.DownloadValue.1
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Ext-Settings-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Ext-Stats-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Browser Helper Objects

4) delete "URLMonitor Class" 3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92
- 会在上面操作中已被删掉

5) delete 315A06D6-FCA7-45EA-B77D-EE7B90041224
- HKEY_CLASSES_ROOT-TypeLib-{315A06D6-FCA7-45EA-B77D-EE7B90041224}

6) delete 1363F829-37F1-4763-9FBA-E8BB564D95EE
- HKEY_CLASSES_ROOT-Interface-{1363F829-37F1-4763-9FBA-E8BB564D95EE}

为保险起见，你可以再搜索以下 keywords:
- winhtp
- pupw.sys