C:\WINDOWS\System32\drivers\ws2ifsl.sys 这是什么文件、
C:\WINDOWS\System32\drivers\ws2ifsl.sys 360说有程序在修改注册列表、那这是什么文件?...
C:\WINDOWS\System32\drivers\ws2ifsl.sys 360说 有程序在修改注册列表、那这是什么文件?
展开
4个回答
展开全部
流氓quartz32.dll和msplus.dll的解决办法
症状:在正常情况下,或用一些搜索引擎搜索某关键词时,频繁弹出以roogoo.com为指向的广告窗口,目前杀软是能报警的,但在处理上,却存在问题,它采用驱动隐藏保护,找不到源头,无法清除,即使隔离或删除了,可能会出现上不了网的现象。
来历及工作方式:来历很简单,就是那个roogoo.com,自称“通用搜索”,其工作方式和Yayad等其他流氓几乎一样,通过各种流氓方式先给同学们安装一个客户端,然后再向一些企业兜售,并通过客户端弹出付费企业的广告。
分析:由于这个东东不断升级,所释放的东西也不尽相同,以下分析主要是参照Symantec和毒霸
1.生成下列文件其中的某一个到系统目录
%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll
%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll
在hijackthis日志里的体现位置为O10项,比如
O10
-
Unknown
file
in
Winsock
LSP:
c:\windows\system32\quartz32.dll
2.创建注册表信息
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\TypeLib\
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo
3.在注册表里创建键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
右窗创建
"FROMID"
=
"roogoo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3
右窗创建
"2102"
=
"0"
4.释放WS2IFSL.SYS文件创建系统驱动服务,以及在注册表里体现
【进入注册表,删除相关信息,并删除病毒文件,如果LEGACY_WS2IFSL
这一项删除不动的话,参考注册表残余信息的处理】
c:\windows\System32\drivers\ws2ifsl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
解决办法:上面分析中的“1”,先不要动
1.上面分析中的“1”,先不要动
2.依据上面分析中2、3、4条中的粗体字部分,进入注册表删除相关信息,并删除病毒文件
3.再根据下面这篇日志的来修复分析中的“1”
本人今天刚刚按此解决了病毒
建议安全模式下解决
很高兴回答楼主的问题
如有错误请见谅
症状:在正常情况下,或用一些搜索引擎搜索某关键词时,频繁弹出以roogoo.com为指向的广告窗口,目前杀软是能报警的,但在处理上,却存在问题,它采用驱动隐藏保护,找不到源头,无法清除,即使隔离或删除了,可能会出现上不了网的现象。
来历及工作方式:来历很简单,就是那个roogoo.com,自称“通用搜索”,其工作方式和Yayad等其他流氓几乎一样,通过各种流氓方式先给同学们安装一个客户端,然后再向一些企业兜售,并通过客户端弹出付费企业的广告。
分析:由于这个东东不断升级,所释放的东西也不尽相同,以下分析主要是参照Symantec和毒霸
1.生成下列文件其中的某一个到系统目录
%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll
%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll
在hijackthis日志里的体现位置为O10项,比如
O10
-
Unknown
file
in
Winsock
LSP:
c:\windows\system32\quartz32.dll
2.创建注册表信息
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\TypeLib\
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo
3.在注册表里创建键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
右窗创建
"FROMID"
=
"roogoo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones\3
右窗创建
"2102"
=
"0"
4.释放WS2IFSL.SYS文件创建系统驱动服务,以及在注册表里体现
【进入注册表,删除相关信息,并删除病毒文件,如果LEGACY_WS2IFSL
这一项删除不动的话,参考注册表残余信息的处理】
c:\windows\System32\drivers\ws2ifsl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
解决办法:上面分析中的“1”,先不要动
1.上面分析中的“1”,先不要动
2.依据上面分析中2、3、4条中的粗体字部分,进入注册表删除相关信息,并删除病毒文件
3.再根据下面这篇日志的来修复分析中的“1”
本人今天刚刚按此解决了病毒
建议安全模式下解决
很高兴回答楼主的问题
如有错误请见谅
展开全部
一般你安装一个软件的时候都是需要写入注册表的,所以会有提示
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
先说下sys后缀的文件:
sys文件是为对象类别扩充组件,是一种可以由在微软的Windows系统中运行的应用软件创建使用的特殊用途的程序。通过使用其他开发厂商提供的sys可以方便的实现各种系统、或是程序原本并没有的复杂功能,甚至可以跨变成语言使用,十分方便。相反,如果原本调用的{sys}被破坏或是丢失,则有可能会造成该程序、文件不能正常运行。
出现SYS文件缺少问题的大部分原因是因该文件被木马病毒破坏导致系统程序找不到此文件,出现错误提示框,或程序无法运行,解决此问题只需找到专业的SYS文件下载网站,下载该文件后,找到适合程序的文件版本,复制到相应目录。即可解决。
然后就是这个文件:
系统文件ws2ifsl.sys出错,是由于木马病毒、或不小心下载了流氓软件被感染所致。而该文件又是系统/程序正常运行的前提条件,因此非常重要,也极其容易被木马病毒或者流氓文件篡改和注入。
如果360报警,很大程度上可以说你这个文件被感染了,那么尝试进行修复,如果修改一些比较正常的注册表项目,也就允许可以了,主要看360提醒级别,如果是橙色,一般没事放行即可,如果是红色警告,多考虑下吧
Good Luck and cockroach bless you~
理工小强祝你好运~
sys文件是为对象类别扩充组件,是一种可以由在微软的Windows系统中运行的应用软件创建使用的特殊用途的程序。通过使用其他开发厂商提供的sys可以方便的实现各种系统、或是程序原本并没有的复杂功能,甚至可以跨变成语言使用,十分方便。相反,如果原本调用的{sys}被破坏或是丢失,则有可能会造成该程序、文件不能正常运行。
出现SYS文件缺少问题的大部分原因是因该文件被木马病毒破坏导致系统程序找不到此文件,出现错误提示框,或程序无法运行,解决此问题只需找到专业的SYS文件下载网站,下载该文件后,找到适合程序的文件版本,复制到相应目录。即可解决。
然后就是这个文件:
系统文件ws2ifsl.sys出错,是由于木马病毒、或不小心下载了流氓软件被感染所致。而该文件又是系统/程序正常运行的前提条件,因此非常重要,也极其容易被木马病毒或者流氓文件篡改和注入。
如果360报警,很大程度上可以说你这个文件被感染了,那么尝试进行修复,如果修改一些比较正常的注册表项目,也就允许可以了,主要看360提醒级别,如果是橙色,一般没事放行即可,如果是红色警告,多考虑下吧
Good Luck and cockroach bless you~
理工小强祝你好运~
本回答被网友采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
不要紧的 一般是你正在安装软件吧。让他修改没事
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询