Monday 2005-04-11
一个可恶的国产广告软件个人查杀方案
关键词:henbang, HAP, pupw.sys
首先是无缘无故的时不时冒出个畏首畏尾默认最小化的新窗口,地址或标题上有henbang的字样,明显的有AD虫子作祟
周末诺顿SCAN硬盘后C盘发现两个广告软件,随即删了,也没在意;
于是这两天系统(xp sp2 正宗D版)起来时老弹出报错窗口:说系统目录下system32--drivers--Pupw.sys是无效的windows映像,点了确定又弹出一个同样关于pupw.sys的窗口,再确定;讨厌之极
so加上问了下Dr Google综合方案如下:
1,控制面板的软件删除里把HAP删了,如果还在的话--我的早没了
2,运行里regedit命令调出注册表编辑器搜索pupw.sys,翻出一个HKEY_LOCAL_MATHINE--SoftWare--Microsoft--Windows--policies--Explorer--run(一层层找不如搜索来得快:)里面有一个键值似乎是helperdll,老长的一行里有pupw.sys,在rundll前面,开始我还只是把pupw.dll揪出来,现在已经把Explorer下面的run子目录删了,哼哼..
3,对于pupw.sys这个肇事者,呵呵,在system32–drivers目录下建议找出Pupw.sys 以及同目录下的Khdap.sys , Madbp.sys , Ustqilnr.sys状态栏上可以看出是HAP公司的。我是怎么找出它们的?--用ghostExplorer打开前些日子作的系统ghost image,我把driver目录提出来一个个文件对比多出来的这几个,相信我,看到了就删
4,又C盘搜索HAP时发现在pupw.sys 的上层目录system32下还有毒瘤hap.dll,建议使用‘详细信息’的方式查看,按照‘创建时间’排列(默认只有‘修改时间’列,右键把‘创建时间’打勾勾出来),这时就可以看到团伙了,hihi,大约四五个文件跟hap.dll同时创建,只记得其中一个henbangkiller.exe,还有一个好像是自删除exe文件,我双击了没反应,其他的,不好意思,一时无名火起,Shif+del了,反正落户时间同时同分的就这几个,既然同年同月生,就成全它们兄弟一场桃源之义吧
目前重启了两次,还没动静,应该剿灭的差不多了;有问题再补叙吧。总结原因,应该是前些日子下了几个开机关机的国产小软件玩,看着不好随即删了,结果种子播下了
博采卸载:
插件的卸载
.关闭所有IE。
.使用任务管理器删除BCUP.exe进程。
.打开运行,执行regsvr32 -u c:\系统目录\BoCaiToolBar.dll
.进入系统目录。
(win2000:\\winnt\system32)
(win98:\\windows\system)
.删除BCUP.exe,删除BoCaiToolBall.DLL
.打开注册表编辑器
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BCUpdate
.删除HKEY_LOCAL_MACHINE\SOFTWARE\BlogChina\BC]
{AB89C9BF-9250-473B-BE49-D34F615CB678}
应该是mysee
无法启动防火墙,由于相关服务没有运行,windows防火墙设置无法显示, 错误10106:无法加载或初始化请求的服务提供程序
第一步:根据提示,在服务管理中将"Windows Firewall/Internet Connection Sharing(ICS)"服务的"启动方式"设置为"自动",然后单击"启动"按钮,系统却提示"在本地计算机无法启动Windows Firewall/Internet Connection Sharing (ICS)服务。错误1068:依存服务或组无法启动"。服务无法启动了,典型的依存故障。
第二步:双击该服务打开"属性"窗口,切换到"依存关系"选项卡,在"此服务依赖以下系统组件"框中发现当前服务依存于"Network Connections"和"Windows Management Instrumentation"这两项服务,初步确定这两项服务可能被禁止了。经过检查,果然发现"Network Connections"的"启动方式"被设置为"已禁用",当前状态为"已停止"
第三步:依附关系找到后,解决问题就非常简单了。将"Network Connections"设置为"手动"并启动,然后再将"Windows Firewall/Internet Connection Sharing (ICS)"服务启用即可。
会吗?
ICS服务依赖于Network Connections和Windows Management Instrumentation服务,在ICS服务的属性里可以看到,你检查一下是否停止了RPC服务和Event Log服务。