问题:
因为系统中毒被更改了winsock。病毒文件我已经删除了。但是winsock里面还有残留信息(这个时候是能正常上网的)
操作1。
如果我直接在注册表删除了winsock病毒的残留信息。在不重启的情况下。可以正常运行netsh winsock reset命令。并且没有报错。直接显示命令成功完成。请重启电脑
操作2。
如果我重启了电脑。从出现logo到桌面会变得非常漫长。开机会提示System Event Notification Service服务无法正常启动。服务里面这个服务状态是启动。而不是已启动。并且服务状态不可更改(启动。停止按钮式灰色的)并且网络连接打红叉,不能连接网络,事件查看器打不开。
如果运行netsh winsock reset命令。则提示在nshhttp.dll中初始化函数inithelperdll启动失败,错误代码为11003。
操作3。
如果不从注册表删除病毒残留信息。直接运行netsh winsock reset命令。也会直接显示命令成功完成。请重启电脑。重启完成后会变成操作2一样的问题。
操作4.
尝试使用Winsock Repair
0.5.3.535修复tcp/ip和winsock。重启后跟操作2一样。
操作5.
恢复注册表被删除的病毒残留信息。正常进入系统。正常上网。操作2的问题都没有了。
想法。
故怀疑病毒尝试更改了catalog目录。导致用netsh winsock reset命令。reset了病毒更改winsock信息。
检查
全新安装的win7 sp1 catalog目录 文件数为382。最后更改的日期为20110223 pm2.46
我的有问题的pc catalog目录 文件数为274 最后更改日期为20110324 但是没有病毒发生日期的文件(那天是3月17日)最近的几个更改文件日期是3月11和3月24
所以。我想问下。我出现的情况有没有可能是病毒文件更改了catalog目录里面的文件。导致reset命令无效?
亦或者是别的原因引起的?
附病毒残留信息
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000010]
"LibraryPath"="C:\\windows\\system32\\SuperEC_Hook.dll"
"DisplayString"="mdnsNSP"
"ProviderId"=hex:e9,e6,00,b6,3b,55,19,4a,86,96,33,5e,5c,89,61,53
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000001
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
