C:\WINDOWS\System32\drivers\ws2ifsl.sys 这是什么文件、
C:\WINDOWS\System32\drivers\ws2ifsl.sys360说有程序在修改注册列表、那这是什么文件?...
C:\WINDOWS\System32\drivers\ws2ifsl.sys 360说 有程序在修改注册列表、那这是什么文件?
展开
2个回答
展开全部
Ws2ifsl.sys 是安全的文件
http://www.filediag.com/windows/process/Ws2ifsl.sys.html
http://www.filediag.com/windows/process/Ws2ifsl.sys.html
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
流氓quartz32.dll和msplus.dll的解决办法
症状:在正常情况下,或用一些搜索引擎搜索某关键词时,频繁弹出以roogoo.com为指向的广告窗口,目前杀软是能报警的,但在处理上,却存在问题,它采用驱动隐藏保护,找不到源头,无法清除,即使隔离或删除了,可能会出现上不了网的现象。
来历及工作方式:来历很简单,就是那个roogoo.com,自称“通用搜索”,其工作方式和Yayad等其他流氓几乎一样,通过各种流氓方式先给同学们安装一个客户端,然后再向一些企业兜售,并通过客户端弹出付费企业的广告。
分析:由于这个东东不断升级,所释放的东西也不尽相同,以下分析主要是参照Symantec和毒霸
1.生成下列文件其中的某一个到系统目录
%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll
%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll
在hijackthis日志里的体现位置为O10项,比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
2.创建注册表信息
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\TypeLib\
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo
3.在注册表里创建键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
右窗创建 "FROMID" = "roogoo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
右窗创建 "2102" = "0"
4.释放WS2IFSL.SYS文件创建系统驱动服务,以及在注册表里体现
【进入注册表,删除相关信息,并删除病毒文件,如果LEGACY_WS2IFSL
这一项删除不动的话,参考注册表残余信息的处理】
c:\windows\System32\drivers\ws2ifsl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
解决办法:上面分析中的“1”,先不要动
1.上面分析中的“1”,先不要动
2.依据上面分析中2、3、4条中的粗体字部分,进入注册表删除相关信息,并删除病毒文件
3.再根据下面这篇日志的来修复分析中的“1”
本人今天刚刚按此解决了病毒 建议安全模式下解决
很高兴回答楼主的问题 如有错误请见谅
症状:在正常情况下,或用一些搜索引擎搜索某关键词时,频繁弹出以roogoo.com为指向的广告窗口,目前杀软是能报警的,但在处理上,却存在问题,它采用驱动隐藏保护,找不到源头,无法清除,即使隔离或删除了,可能会出现上不了网的现象。
来历及工作方式:来历很简单,就是那个roogoo.com,自称“通用搜索”,其工作方式和Yayad等其他流氓几乎一样,通过各种流氓方式先给同学们安装一个客户端,然后再向一些企业兜售,并通过客户端弹出付费企业的广告。
分析:由于这个东东不断升级,所释放的东西也不尽相同,以下分析主要是参照Symantec和毒霸
1.生成下列文件其中的某一个到系统目录
%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll
%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll
在hijackthis日志里的体现位置为O10项,比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
2.创建注册表信息
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\TypeLib\
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo
3.在注册表里创建键值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
右窗创建 "FROMID" = "roogoo"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
右窗创建 "2102" = "0"
4.释放WS2IFSL.SYS文件创建系统驱动服务,以及在注册表里体现
【进入注册表,删除相关信息,并删除病毒文件,如果LEGACY_WS2IFSL
这一项删除不动的话,参考注册表残余信息的处理】
c:\windows\System32\drivers\ws2ifsl.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL
解决办法:上面分析中的“1”,先不要动
1.上面分析中的“1”,先不要动
2.依据上面分析中2、3、4条中的粗体字部分,进入注册表删除相关信息,并删除病毒文件
3.再根据下面这篇日志的来修复分析中的“1”
本人今天刚刚按此解决了病毒 建议安全模式下解决
很高兴回答楼主的问题 如有错误请见谅
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
