网站 › 『病毒分析区』 › IE后台自动下载52guagua.com文件修复

bjlg 发表于 2016-11-29 22:24

IE后台自动下载52guagua.com文件修复

本帖最后由 bjlg 于 2016-11-30 10:37 编辑

         首先声明，这个xlnet.dll不一定是病毒。这个下载的文件也不一定是什么恶意的东西，但是他每次上网都在后台下载几次，非常的不顺服！所以要彻底解决
               因为是最后才知道是这个文件xlnet.dll造成的，开始以为被劫持了）
         其次非常的鄙视联通！！！！！！---------------------------
      
          下面是正文
         前些天发现计算机被偷返利，一直找联通（不过这确实是联通的问题），
         今天使用了HTTPAnalyzer 查看了一下，发现IE启动后访问第一个网站（不论什么网站）就会下载一个文件spscsh.dat
            链接的地址是http://   updateshop.   52guagua.   com/spscsh.dat （中间加了空格以免误点击）见下图

               
            不论是重置IE（重启）都不能解决这个问题，然后用各种工具查IE的加载项，都没有问题          最后发现winosock2下有一个可以的协议xlnet.dll
                           

      看黄色部分（因为我手动删除才出现的）
       对比虚拟机中的没有这个文件，就死马当活马医，重命名了这个文件，重启计算机后，发现不能上网，不得不还原。
       然后在网上查找，发现是直接命令行下(可能需要管理员权限，我的是win7
       C:\netsh winsock reset
       重启后，一切ok
最后发现这是北京创新远大科技有限公司的东东，与联通与合作（沃宽）。
估计以前联通的宽带提速的软件造成！
这是xlnet的附件：（这个文件其实也没多大的用处，不过就是为了说明问题，传上来的）
今天差不多耽搁快2个小时弄这个东西（包含写这个帖子），开始主要是思路错了，因为看到板上的说用wmitool等工具
然后检查加载项等。最后才winsock这个就是3楼说的LSP劫持


转载一篇文章（这是事后看到的文章）
http://fdingy.blog.163.com/blog/static/3160814920091011230117/
关于Winsock LSP“浏览器劫持”，中招者一直高居不下,由于其特殊性，直接删除而不恢复LSP的正常状态很可能会导致无法上网所以对其修复需慎重.          先说说什么是Winsock LSP“浏览器劫持”.Winsock LSP全称Windows Socket Layered Service Provider(分层服务提供商)，它是Windows底层网络Socker通信需要经过的大门。一些流氓软件可以把自已加进去，就可以截取、访问、修改网络的数据包，可以随意添加广告，还能获取你的浏览习惯.             这里加进的是木马，后果可想而知。而且因为LSP工作在底层，所以无论你用什么浏览器，都逃不了经过它。而LSP中的dll文件被删除后，就会出现无法上网的情况。         LSP服务在注册表中的位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock\Parameters\NameSpace_Catalog5\Catalog_Entries，默认系统已有LSP，分别负责TCP/IP组件（mswsock.dll）和NTDS组件（winrnr.dll）的正常工作，它们的项分别为000000000001         和 000000000002，这两个项表示优先权，如果恶意程序想要劫持，只要将自身的项改为000000000001，将系统项依次推后即可，这样就可以优先处理恶意程序了。       解决办法：
            方法1.用360的LSP修复功能来修复。如果提示你的“LSP没有异常，不用修复”，但是你还是上不了网，执行ping命令，在ip地址处会出现（？），无法ping通外网。那么你就用360的“恢复Winsock LSP到初始状态”的功能。            方法2.就是大家熟悉的，也就是常用的方法，用LSPFix这个工具在断开网络下修复          方法3.Windows XP Service Pack 2 （Win7）中有两个新增的 Netsh 命令。         " netsh winsock reset catalog   该命令将 Winsock 目录重置为默认配置。如果安装了可导致网络连接丢失的不正确的 LSP，该命令会很有用。尽管使用该命令可以还原网络连接，但应该慎重使用，因为以前安装的 LSP 都将需要重新安装。
      " netsh winsock show catalog   该命令会显示安装在计算机上的 Winsock LSP 列表。
         所以呢，我们在没有任何辅助工具的情况下可以用netsh winsock reset命令来重置Winsock

bjlg 发表于 2016-12-8 20:49

guiguzi 发表于 2016-12-4 12:51
这个netsh winsockreset经常用到

以前还没用过，这条命令真的很重要，不过，用了这个之后，是不是vmware等需要安装修复一下
（不过也可以吧注册表导出一下吧）

Zwin 发表于 2017-3-19 10:02

netsh winsockreset这个命令我们学校工作室经常用，学生电脑学校客户端认证出问题直接netsh winsockreset重置网卡解决的不在少数

asdfghjkl12544 发表于 2016-11-29 22:35

感谢分享

Hmily 发表于 2016-11-29 22:39

这是走的lsp劫持流量。

bjlg 发表于 2016-11-29 22:42

Hmily 发表于 2016-11-29 22:39
这是走的lsp劫持流量。

是啊，主要是，你不带开网址，还不出现，一打开网址，马上出现，而且下载几次！！！
所以联通真恶心！

WYX89898 发表于 2016-11-30 00:22

感谢分享 确实挺麻烦的 换做我的话 肯定没辙 立刻恢复我的备份系统了。。。

铅笔刀 发表于 2016-11-30 08:00

排版有点乱啊{:1_903:}

guiguzi 发表于 2016-12-4 12:51

这个netsh winsockreset经常用到   

sstm 发表于 2016-12-24 08:41

查看完整版本: IE后台自动下载52guagua.com文件修复