吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7692|回复: 10
收起左侧

[PC样本分析] IE后台自动下载52guagua.com文件修复

  [复制链接]
bjlg 发表于 2016-11-29 22:24
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 bjlg 于 2016-11-30 10:37 编辑

         首先声明,这个xlnet.dll不一定是病毒。这个下载的文件也不一定是什么恶意的东西,但是他每次上网都在后台下载几次,非常的不顺服!所以要彻底解决
               因为是最后才知道是这个文件xlnet.dll造成的,开始以为被劫持了)
         其次非常的鄙视联通!!!!!!---------------------------
        
          下面是正文
           前些天发现计算机被偷返利,一直找联通(不过这确实是联通的问题),
           今天使用了HTTPAnalyzer 查看了一下,发现IE启动后访问第一个网站(不论什么网站)就会下载一个文件spscsh.dat
              链接的地址是http://   updateshop.   52guagua.   com/spscsh.dat (中间加了空格以免误点击)见下图


                1.jpg

            不论是重置IE(重启)都不能解决这个问题,然后用各种工具查IE的加载项,都没有问题
          最后发现winosock2下有一个可以的协议xlnet.dll
                            2.jpg

        看黄色部分(因为我手动删除才出现的)
       对比虚拟机中的没有这个文件,就死马当活马医,重命名了这个文件,重启计算机后,发现不能上网,不得不还原。
       然后在网上查找,发现是直接命令行下(可能需要管理员权限,我的是win7
       C:\netsh winsock reset
       重启后,一切ok
最后发现这是北京创新远大科技有限公司的东东,与联通与合作(沃宽)。
估计以前联通的宽带提速的软件造成!
这是xlnet的附件: xlnet.zip (123.92 KB, 下载次数: 17) (这个文件其实也没多大的用处,不过就是为了说明问题,传上来的)
今天差不多耽搁快2个小时弄这个东西(包含写这个帖子),开始主要是思路错了,因为看到板上的说用wmitool等工具
然后检查加载项等。最后才winsock这个就是3楼说的LSP劫持


转载一篇文章(这是事后看到的文章)
http://fdingy.blog.163.com/blog/static/3160814920091011230117/

关于Winsock LSP“浏览器劫持”,中招者一直高居不下,由于其特殊性,直接删除而不恢复LSP的正常状态很可能会导致无法上网所以对其修复需慎重.

          先说说什么是Winsock LSP“浏览器劫持”.Winsock LSP全称Windows Socket Layered Service Provider(分层服务提供商),它是Windows底层网络Socker通信需要经过的大门。一些流氓软件可以把自已加进去,就可以截取、访问、修改网络的数据包,可以随意添加广告,还能获取你的浏览习惯.             这里加进的是木马,后果可想而知。而且因为LSP工作在底层,所以无论你用什么浏览器,都逃不了经过它。而LSP中的dll文件被删除后,就会出现无法上网的情况。

         LSP服务在注册表中的位置 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock\Parameters\NameSpace_Catalog5\Catalog_Entries,默认系统已有LSP,分别负责TCP/IP组件(mswsock.dll)和NTDS组件(winrnr.dll)的正常工作,它们的项分别为000000000001

         和 000000000002,这两个项表示优先权,如果恶意程序想要劫持,只要将自身的项改为000000000001,将系统项依次推后即可,这样就可以优先处理恶意程序了。

       解决办法:
            方法1.用360的LSP修复功能来修复。如果提示你的“LSP没有异常,不用修复”,但是你还是上不了网,执行ping命令,在ip地址处会出现(?),无法ping通外网。那么你就用360的“恢复Winsock LSP到初始状态”的功能。

            方法2.就是大家熟悉的,也就是常用的方法,用LSPFix这个工具在断开网络下修复

          方法3.Windows XP Service Pack 2 (Win7)中有两个新增的 Netsh 命令。

         " netsh winsock reset catalog   该命令将 Winsock 目录重置为默认配置。如果安装了可导致网络连接丢失的不正确的 LSP,该命令会很有用。尽管使用该命令可以还原网络连接,但应该慎重使用,因为以前安装的 LSP 都将需要重新安装。
        " netsh winsock show catalog   该命令会显示安装在计算机上的 Winsock LSP 列表。
           所以呢,我们在没有任何辅助工具的情况下可以用netsh winsock reset命令来重置Winsock






免费评分

参与人数 3吾爱币 +1 热心值 +3 收起 理由
liuyuntianxia12 + 1 + 1 用心讨论,共获提升!
really + 1 已答复!
repobor + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| bjlg 发表于 2016-12-8 20:49
guiguzi 发表于 2016-12-4 12:51
这个netsh winsock  reset  经常用到

以前还没用过,这条命令真的很重要,不过,用了这个之后,是不是vmware等需要安装修复一下
(不过也可以吧注册表导出一下吧)
Zwin 发表于 2017-3-19 10:02
netsh winsock  reset这个命令我们学校工作室经常用,学生电脑学校客户端认证出问题直接netsh winsock  reset重置网卡解决的不在少数
asdfghjkl12544 发表于 2016-11-29 22:35
Hmily 发表于 2016-11-29 22:39
这是走的lsp劫持流量。
 楼主| bjlg 发表于 2016-11-29 22:42
Hmily 发表于 2016-11-29 22:39
这是走的lsp劫持流量。

是啊,主要是,你不带开网址,还不出现,一打开网址,马上出现,而且下载几次!!!
所以联通真恶心!
WYX89898 发表于 2016-11-30 00:22
感谢分享 确实挺麻烦的 换做我的话 肯定没辙 立刻恢复我的备份系统了。。。
铅笔刀 发表于 2016-11-30 08:00
排版有点乱啊{:1_903:}
guiguzi 发表于 2016-12-4 12:51
这个netsh winsock  reset  经常用到   
头像被屏蔽
sstm 发表于 2016-12-24 08:41
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 00:29

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表