極速下載站 —— 提供優(yōu)質(zhì)軟件下載服務(wù),感受全新的極速下載體驗!

最近更新 | 軟件專題 | 軟件分類 | 軟件排行

您的位置:極速下載站資訊首頁軟件教程軟件問答 → 如何刪除quartz32.dll和msplus.dll文件

如何刪除quartz32.dll和msplus.dll文件

時間:2012-03-12 12:20:56  作者:不思議游戲  瀏覽量:94

問題:

在正常情況下,或用一些搜索引擎搜索某關(guān)鍵詞時,頻繁彈出以roogoo.com為指向的廣告窗口,目前殺軟是能報警的,但在處理上,卻存在問題,它采用驅(qū)動隱藏保護,找不到源頭,無法清除,即使隔離或刪除了,可能會出現(xiàn)上不了網(wǎng)的現(xiàn)象。

來歷及工作方式:來歷很簡單,就是那個roogoo.com,自稱“通用搜索”,其工作方式和Yayad等其他流氓幾乎一樣,通過各種流氓方式先給同學(xué)們安裝一個客戶端,然后再向一些企業(yè)兜售,并通過客戶端彈出付費企業(yè)的廣告。

分析:

由于這個東東不斷升級,所釋放的東西也不盡相同,以下分析主要是參照Symantec和毒霸

1.生成下列文件其中的某一個到系統(tǒng)目錄 【先別動,處理參照下面的解決辦法】

%System%\msplus.dll
%System%\msplus1.dll
%System%\msplus2.dll
%System%\msplus3.dll
%System%\msplus4.dll

%System%\quartz32.dll
%System%\wshcon32.dll
%System%\secur.dll
%System%\raspapi.dll
%System%\winipsec32.dll

在hijackthis日志里的體現(xiàn)位置為O10項,比如

O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll

2.創(chuàng)建注冊表信息 【進入注冊表刪除相關(guān)信息】

HKEY_CLASSES_ROOT\CLSID\{18F57D30-EF36-4C0E-9343-7BFA6DF79B4A}
HKEY_CLASSES_ROOT\Interface\{2805A558-1E98-48FB-8BA5-49A3AD78B129}
HKEY_CLASSES_ROOT\TypeLib\{57F7A59D-8F7F-41B2-98B8-A095456716E9}
HKEY_CLASSES_ROOT\Adplus.XLink
HKEY_CLASSES_ROOT\Adplus.XLink.1
HKEY_LOCAL_MACHINE\SOFTWARE\Roogoo

3.在注冊表里創(chuàng)建鍵值    【進入注冊表刪除下面列出的右窗所創(chuàng)建信息】

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

右窗創(chuàng)建 "FROMID" = "roogoo"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

右窗創(chuàng)建 "2102" = "0"

4.釋放WS2IFSL.SYS文件創(chuàng)建系統(tǒng)驅(qū)動服務(wù),以及在注冊表里體現(xiàn)

【進入注冊表,刪除相關(guān)信息,并刪除病毒文件,如果LEGACY_WS2IFSL
這一項刪除不動的話,參考注冊表殘余信息的處理】

c:\windows\System32\drivers\ws2ifsl.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WS2IFSL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

解決辦法:上面分析中的“1”,先不要動

1.上面分析中的“1”,先不要動
2.依據(jù)上面分析中2、3、4條中的粗體字部分,進入注冊表刪除相關(guān)信息,并刪除病毒文件
3.再根據(jù)下面這篇日志的來修復(fù)分析中的“1”

整理關(guān)于hjackthis日志中O10項的修復(fù)相關(guān)

相關(guān)資訊