none
如何确定catalog目录里的文件没有被改动? RRS feed

  • 问题

  • 问题:

    因为系统中毒被更改了winsock。病毒文件我已经删除了。但是winsock里面还有残留信息(这个时候是能正常上网的)

    操作1。

    如果我直接在注册表删除了winsock病毒的残留信息。在不重启的情况下。可以正常运行netsh winsock reset命令。并且没有报错。直接显示命令成功完成。请重启电脑

    操作2。

    如果我重启了电脑。从出现logo到桌面会变得非常漫长。开机会提示System Event Notification Service服务无法正常启动。服务里面这个服务状态是启动。而不是已启动。并且服务状态不可更改(启动。停止按钮式灰色的)并且网络连接打红叉,不能连接网络,事件查看器打不开。

    如果运行netsh winsock reset命令。则提示在nshhttp.dll中初始化函数inithelperdll启动失败,错误代码为11003。

    操作3。

    如果不从注册表删除病毒残留信息。直接运行netsh winsock reset命令。也会直接显示命令成功完成。请重启电脑。重启完成后会变成操作2一样的问题。

    操作4.

    尝试使用Winsock Repair 0.5.3.535修复tcp/ip和winsock。重启后跟操作2一样。

    操作5.

    恢复注册表被删除的病毒残留信息。正常进入系统。正常上网。操作2的问题都没有了。

    想法。

    故怀疑病毒尝试更改了catalog目录。导致用netsh winsock reset命令。reset了病毒更改winsock信息。

    检查

    全新安装的win7 sp1 catalog目录 文件数为382。最后更改的日期为20110223 pm2.46

    我的有问题的pc catalog目录 文件数为274 最后更改日期为20110324 但是没有病毒发生日期的文件(那天是3月17日)最近的几个更改文件日期是3月11和3月24

    所以。我想问下。我出现的情况有没有可能是病毒文件更改了catalog目录里面的文件。导致reset命令无效?

    亦或者是别的原因引起的?

    附病毒残留信息

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000010]
    "LibraryPath"="C:\\windows\\system32\\SuperEC_Hook.dll"
    "DisplayString"="mdnsNSP"
    "ProviderId"=hex:e9,e6,00,b6,3b,55,19,4a,86,96,33,5e,5c,89,61,53
    "SupportedNameSpace"=dword:0000000c
    "Enabled"=dword:00000001
    "Version"=dword:00000001
    "StoresServiceClassInfo"=dword:00000000
    "ProviderInfo"=hex:

    2011年4月12日 3:20

全部回复

  • 在安全模式下。操作1.3.4都会回到操作2的问题。

    2011年4月12日 3:29
  • 是否使用sfc /scannow执行扫描,建议使用/scanfile 对当前系统文件与正常文件进行对比。

    如果您的问题得到解答,请进行标注。http://goxia.maytide.net

    2012年3月19日 6:26
    版主