又一來自國內的 malware, watch out!
google search 隻能找到國內的文章,但不解決問題。McAfee 還不知道它,所以。。。下麵是我摸索出的解決方法。
公司:
henbang.net "很棒" -- shit! 他們有個破軟件。但是這個病毒不一定在你安裝此軟件後才有。
症狀:
- Windows 啟動後會自動聯網(如果你是用撥號,極易發覺)。公司聲稱那是為了讓你在第一時間得到最新,shit again!
文件:
under %System32%-:
- winup.exe
- winhtp.dll
- webad.dll
- hap.dll
- had.ini
- win.htm
網上(國內)文章都隻提到上麵這些文件,但他們隻是被衍生出來的。你必須刪掉下麵兩個文件以根除:
under %System32%-drivers-:
- Madbp.sys
- Pupw.sys
registry:
1) HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
- 刪掉可疑的 (我在第一次見到這個病毒的痕跡,就立刻把它刪了,所以不記得它的值)
2) HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
- helperdll = Rundll32 C:-WIN-system32-drivers-Pupw.sys,Rundll32
3) delete "DownloadValue Class" 616D4040-5712-4F0F-BCF1-5C6420A99E14
- HKEY_CLASSES_ROOT-CLSID-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_CLASSES_ROOT-DownloadStart.DownloadValue
- HKEY_CLASSES_ROOT-DownloadStart.DownloadValue.1
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Ext-Settings-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Ext-Stats-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Browser Helper Objects
4) delete "URLMonitor Class" 3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92
- 會在上麵操作中已被刪掉
5) delete 315A06D6-FCA7-45EA-B77D-EE7B90041224
- HKEY_CLASSES_ROOT-TypeLib-{315A06D6-FCA7-45EA-B77D-EE7B90041224}
6) delete 1363F829-37F1-4763-9FBA-E8BB564D95EE
- HKEY_CLASSES_ROOT-Interface-{1363F829-37F1-4763-9FBA-E8BB564D95EE}
為保險起見,你可以再搜索以下 keywords:
- winhtp
- pupw.sys
google search 隻能找到國內的文章,但不解決問題。McAfee 還不知道它,所以。。。下麵是我摸索出的解決方法。
公司:
henbang.net "很棒" -- shit! 他們有個破軟件。但是這個病毒不一定在你安裝此軟件後才有。
症狀:
- Windows 啟動後會自動聯網(如果你是用撥號,極易發覺)。公司聲稱那是為了讓你在第一時間得到最新,shit again!
文件:
under %System32%-:
- winup.exe
- winhtp.dll
- webad.dll
- hap.dll
- had.ini
- win.htm
網上(國內)文章都隻提到上麵這些文件,但他們隻是被衍生出來的。你必須刪掉下麵兩個文件以根除:
under %System32%-drivers-:
- Madbp.sys
- Pupw.sys
registry:
1) HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
- 刪掉可疑的 (我在第一次見到這個病毒的痕跡,就立刻把它刪了,所以不記得它的值)
2) HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer-Run
- helperdll = Rundll32 C:-WIN-system32-drivers-Pupw.sys,Rundll32
3) delete "DownloadValue Class" 616D4040-5712-4F0F-BCF1-5C6420A99E14
- HKEY_CLASSES_ROOT-CLSID-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_CLASSES_ROOT-DownloadStart.DownloadValue
- HKEY_CLASSES_ROOT-DownloadStart.DownloadValue.1
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Ext-Settings-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Ext-Stats-{616D4040-5712-4F0F-BCF1-5C6420A99E14}
- HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Browser Helper Objects
4) delete "URLMonitor Class" 3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92
- 會在上麵操作中已被刪掉
5) delete 315A06D6-FCA7-45EA-B77D-EE7B90041224
- HKEY_CLASSES_ROOT-TypeLib-{315A06D6-FCA7-45EA-B77D-EE7B90041224}
6) delete 1363F829-37F1-4763-9FBA-E8BB564D95EE
- HKEY_CLASSES_ROOT-Interface-{1363F829-37F1-4763-9FBA-E8BB564D95EE}
為保險起見,你可以再搜索以下 keywords:
- winhtp
- pupw.sys
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
