%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll
%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll
在hijackthis日志里的体现位置为O10项,比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
2.创建注册表信息 【进入注册表删除相关信息】
HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo
3.在注册表里创建键值 【进入注册表删除下面列出的右窗所创建信息】
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
右窗创建 "FROMID" = "roogoo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
右窗创建 "2102" = "0"
4.释放WS2IFSL.SYS文件创建系统驱动服务,以及在注册表里体现
【进入注册表,删除相关信息,并删除病毒文件,如果LEGACY_WS2IFSL
这一项删除不动的话,参考注册表残余信息的处理】
c:\windows\System32\drivers\ws2ifsl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
解决办法:上面分析中的“1”,先不要动
1.上面分析中的“1”,先不要动
2.依据上面分析中2、3、4条中的粗体字部分,进入注册表删除相关信息,并删除病毒文件
3.再根据下面这篇日志的来修复分析中的“1”
整理关于hjackthis日志中O10项的修复相关