近期发现的windows一例病毒(恶意软件)处理办法
 
现象(可能满足其中一条或多条):
1、电脑能够ping通外面的IP地址或域名,但ping时在第一行的说明及最后面的统计中出现问号(?)或乱码;
例:C:\>ping www.yahoo.com.cn

Pinging www.yahoo.com.cn [?] with 32 bytes of data:
Reply from 131.94.57.182: bytes=32 time=86ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Ping statistics for Où?: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds: Minimum = 74ms, Maximum = 86ms, Average = 77ms OR
C:\>ping 131.94.57.182
Pinging ? with 32 bytes of data:
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Reply from 131.94.57.182: bytes=32 time=74ms TTL=236
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Reply from 131.94.57.182: bytes=32 time=73ms TTL=236
Ping statistics for Où?:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds: Minimum = 73ms, Maximum = 74ms, Average = 73ms
2、电脑无法访问WEB页面;
3、如果安装了某些防病毒软件,有可能可以发现病毒,但无法查杀;停止防病毒软件后发现WEB可以使用,再次打开防病毒软件后WEB仍然可以使用;
4、“设备管理器”中,单击“显示隐藏的设备”时,“TCP/IP 协议驱动程序”在“非即插即用驱动程序”下列出并显示为禁用,错误代码为 24;
5、建立拨号连接时,您可能会收到下面的错误消息:Error 720: No PPP Control Protocols Configured ;
6、在命令提示符处发出“ipconfig”命令时,您可能会收到与以下某条消息类似的错误消息:
The operation failed since no adapter is in the state permissible for this operation. The attempted operation is not supported for the type
of object referenced.
7、在命令提示符处发出“Netsh int ip reset resetlog.txt”命令时,您可能会收到下面的错误消息: Initialization function INITHELPERDLL in
IPMONTR.DLL failed to start with error code 10107.
8、发出“ipconfig /renew”命令时,您可能会收到下面的错误消息:“An error occurred while renewing interface local area connection: an
operation was attempted on something that is not a socket. Unable to contact driver Error code 2”

病毒(恶意软件)分析:
  此种病毒应该定位成一种劫持winsock的一种病毒。windows应用程序通过使用winsock接口调用底层的一些协议,病毒把自己插入到这个过程中,从而实现了一种“代理”的角色。同时,这种病毒(或恶意程序)在启用方式上也有特殊之处,它本身是一种DLL文件,它是修改其它程序,让其它exe程序在启动时去调用它,所以在杀毒的过程中,这个病毒即使被查杀到,但由于它是隐藏在其它进程中的,所以系统也不会让防病毒软件杀掉这个病毒。某些防病毒软件正是因为这个原因,所以无法杀掉这个病毒,但由于其控制了病毒代理其它应用去调用winsock,所以WEB访问便无法实现;当停止防病毒软件后,病毒成功实现了调用,所以系统可以正常工作;当再次启用防病毒软件后,由于访问WEB不需要再次去调用winsock,所以系统也能正常工作,仅仅是防病毒软件提示不能清除病毒。
  当然,有些防病毒软件能够暴力清除病毒,但由于其断开了应用程序与winsock之间的连接,而且没有恢复病毒修改的一些系统信息,所以有可能出现病毒清除了,但系统无法使用。
  防病毒软件担负着清除病毒的责任,它之所以不能成功清除病毒,关键还是没有很好地理解这些病毒的工作机制,只有清楚了解其机制,才能有效清除相毒,
并使系统正常工作。
 
病毒后遗症处理:
注:杀除病毒的责任只能交由防病毒厂家去处理,本文仅对病毒清除后留下的后遗症给出相应的解决办法。本文章所用方法适合于windows XP/Windows 2003操作系统。
 
A、对于windows XP未安装SP2版
 
要在未安装 Windows XP SP2 的情况下修复 Winsock,请删除已损坏的注册表项,然后重新安装 TCP/IP 协议。
步骤 1:删除已损坏的注册表项
警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可
以解决这些问题。修改注册表需要您自担风险。
有关如何备份注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 (
http://support.microsoft.com/kb/322756/) 如何在 Windows XP 和 Windows Server 2003 中备份、编辑和还原注册表
1). 单击“开始”,然后单击“运行”。
2). 在“打开”框中,键入 regedit,然后单击“确定”。
3). 在注册表编辑器中,找到下列项,右键单击各项,然后单击“删除”:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2 
4). 在系统提示您确认删除时,单击“是”。
注意:删除 Winsock 项后,请重新启动计算机。这样做可以让 Windows XP 操作系统为这两个项创建新的 shell 条目。如果在删除 Winsock 项后没有重新启动
计算机,则下一步无法正常进行。
步骤 2:安装 TCP/IP
1). 右键单击网络连接,然后单击“属性”。 
2). 单击“安装”。
3). 单击“协议”,然后单击“添加”。 
4). 单击“从磁盘安装”。 
5). 键入 C:\Windows\inf,然后单击“确定”。 
6). 在可用协议列表中,单击“Internet 协议(TCP/IP)”,然后单击“确定”。
7). 重新启动计算机。 
 
B、对于windows XP已经安装SP2版
要在已安装 Windows XP Service Pack 2 (SP2) 的情况下修复 Winsock,请在命令提示符处键入 netsh winsock reset,然后按 Enter。
注意:运行此命令后请重新启动计算机。另外,对于运行 Windows XP SP2 的计算机,可以使用新的 netsh 命令来重建 Winsock 项。有关更多信息,请访问下
(http://www.microsoft.com/china/technet/prodtechnol/winxppro/maintain/sp2netwk.mspx)
警告:在运行 netsh winsock reset 命令时,访问或监视 Internet 的程序(如防病毒程序、防火墙或代理客户端)可能会受到不良影响。如果使用此解决方案
后某个程序无法正常工作,请重新安装该程序以恢复功能。
注意:如果这些步骤无法解决问题,请按不带有SP2的XP的修复方法。
 
C、Windows 2003操作系统
要解决此问题,请删除已损坏的注册表项,然后重新安装 TCP/IP 协议。
要删除已损坏的注册表项,请按照下列步骤操作。
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册
表编辑器需要您自担风险。 1. 重新启动域控制器。
2. 当显示 BIOS 信息时,按 F8。
3. 选择“目录服务还原模式”,然后按 Enter。
4. 使用“目录服务还原模式”密码登录。
5. 单击“开始”,然后单击“运行”。
6. 在“打开”框中,键入 regedit,然后单击“确定”。
7. 找到以下注册表子项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
8. 右键单击各项,然后单击“删除”。 
9. 单击“是”,确认删除各项。
10. 关闭 Regedit。
11. 在 %winroot%\inf 中找到 Nettcpip.inf 文件,然后在记事本中打开该文件。
12. 找到“[MS-TCPIP.PrimaryInstall]”节。
13. 编辑“Characteristics = 0xa0”项,将“0xa0”替换为“0x80”。
14. 保存该文件,然后退出记事本。
15. 在“控制面板”中,双击“网络连接”,右键单击“本地连接”,然后选择“属性”。
16. 在“常规”选项卡上,单击“安装”,选择“协议”,然后单击“添加”。
17. 在“选择网络协议”窗口中,单击“从磁盘安装”。
18. 在“厂商文件复制来源:”文本框中,键入 c:\windows\inf,然后单击“确定”。
19. 选择“Internet 协议(TCP/IP)”,然后单击“确定”。
注意:此步骤将让您返回到“本地连接属性”屏幕,但现在“卸载”按钮可用。
20. 选择“Internet 协议(TCP/IP)”,单击“卸载”,然后单击“是”。
21. 重新启动计算机,然后按照步骤 2 至步骤 4 中的说明选择“目录服务还原模式”。
22. 在“控制面板”中,双击“网络连接”,右键单击“本地连接”,然后选择“属性”。
23. 在“常规”选项卡上,单击“安装”,选择“协议”,然后单击“添加”。
24. 在“选择网络协议”窗口中,单击“从磁盘安装”。
25. 在“厂商文件复制来源”文本框中,键入 c:\windows\inf,然后单击“确定”。
26. 选择“Internet 协议(TCP/IP)”,然后单击“确定”。
27. 重新启动计算机。
重新安装了 TCP/IP 后,请安装 Microsoft Windows 支持工具,然后运行 Netdiag 和 Dcdiag 工具来验证域控制器已正常工作。为此,请按照下列步骤操作:
1. 将 Windows Server 2003 CD-ROM 插入到计算机的 CD-ROM 或 DVD-ROM 驱动器中。
2. 单击“开始”,单击“运行”,键入“DriveLetter:\Support\Tools\suptools.msi”(其中,DriveLetter 是您的 CD-ROM 或 DVD-ROM 驱动器),然后单击
“确定”。
3. 按照屏幕上的说明完成 Windows 支持工具的安装。
4. 在命令提示符处,定位到安装 Support Tools 的文件夹。默认情况下,此文件夹为 C:\Program Files\Support Tools。
5. 键入 dcdiag /v,以进行域控制器诊断,并随后对任何错误进行处理。
6. 键入 netdiag /v,以进行网络诊断,并随后对任何错误进行处理。
 
D、借助其它工具
这里就要提到LSPFix.exe和winsockxpfix.exe,它们的下载页面为
http://www.winsockfix.nl
LSPFix.exe在置顶贴中的反病毒常用工具里有下载

拿LSPFix.exe来说,打开界面
勾选“I know what I'm doing”
再看下边,左右两个框框,分别为Keep和Remove
确定左边出问题的dll文件,然后点两个框框之间的>>,进行Remove
然后重新启动电脑,问题得到解决。

反之:如果遇到移除错误,可以点两个框框之间的<<,进行Keep