問題描述:
從昨天早上開始,就不能登錄所有的新浪網站了,包括新浪博客,新浪主頁和其它有關SINA的網站。
在地址欄裏輸入新浪的網址,就自動跳到另壹個不知名的國外網站上去了。
本來以為是新浪把俺的IP給封了(因為在群裏和壹個新浪的管理員罵起來了),後來發現,打開俺們單位的主頁時也會跳到那個網站上去。(這些網站最後跳轉到的總是同壹個網站)
依平時的經驗來看,俺的瀏覽器像是被劫持了。可是,除了新浪和俺單位的主頁,其它的網站都能上去的。這樣看來,又不壹定是被劫持了……
解析:
總算搞定了,是winsock和tcp/ip協議被惡意修改了。先用360和諾頓在安全模式下面確定沒有毒和惡意軟件,保證ie已經修復,去處所有不必要的啟動項。然後用winsockxpfix(在網上可以找到)把winsock修復了重起。就好了,抱歉沒有註意是那個惡意軟件,但是可以肯定的是這個東西還是很壞的,因為直接改的系統層面的東西,firefox都跑不掉。
我這裏的情況是dns服務器的地址被修改了,剛才重裝了tcp/ip協議的時候才發現的,不然就不用那麽麻煩在驅動程序那壹塊找了。
特別要註意的是看看winsock,但是手動的方法用sh winsock reset是搞不定的,可能病毒在妳啟動之前通過還在運行的進程就又把它恢復了。
在開始,運行cmd裏面用sh winsock show catalog 命令。
可以看到下面的內容window xp sp2的系統正常的winsock catalog
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD Tcpip [TCP/IP]
提供程序 ID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1001
版本: 2
地址族: 2
最大地址長度: 16
最小地址長度: 16
Socket 類型: 1
協議: 6
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD Tcpip [UDP/IP]
提供程序 ID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1002
版本: 2
地址族: 2
最大地址長度: 16
最小地址長度: 16
Socket 類型: 2
協議: 17
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD Tcpip [RAW/IP]
提供程序 ID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1003
版本: 2
地址族: 2
最大地址長度: 16
最小地址長度: 16
Socket 類型: 3
協議: 0
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: RSVP UDP Service Provider
提供程序 ID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
提供程序路徑: %SystemRoot%\system32\rsvpsp.dll
目錄項 ID: 1004
版本: 6
地址族: 2
最大地址長度: 16
最小地址長度: 16
Socket 類型: 2
協議: 17
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: RSVP TCP Service Provider
提供程序 ID: {9D60A9E0-337A-11D0-BD88-0000C082E69A}
提供程序路徑: %SystemRoot%\system32\rsvpsp.dll
目錄項 ID: 1005
版本: 6
地址族: 2
最大地址長度: 16
最小地址長度: 16
Socket 類型: 1
協議: 6
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD nwlnkipx [IPX]
提供程序 ID: {***********-BE47-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1012
版本: 2
地址族: 6
最大地址長度: 16
最小地址長度: 14
Socket 類型: 2
協議: 1000
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD nwlnkspx [SPX]
提供程序 ID: {***********-BE47-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1013
版本: 2
地址族: 6
最大地址長度: 16
最小地址長度: 14
Socket 類型: 5
協議: 1256
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD nwlnkspx [SPX] [Pseudo Stream]
提供程序 ID: {***********-BE47-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1014
版本: 2
地址族: 6
最大地址長度: 16
最小地址長度: 14
Socket 類型: 1
協議: 1256
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD nwlnkspx [SPX II]
提供程序 ID: {***********-BE47-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1015
版本: 2
地址族: 6
最大地址長度: 16
最小地址長度: 14
Socket 類型: 5
協議: 1257
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD nwlnkspx [SPX II] [Pseudo Stream]
提供程序 ID: {***********-BE47-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1016
版本: 2
地址族: 6
最大地址長度: 16
最小地址長度: 14
Socket 類型: 1
協議: 1257
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD NetBIOS [\Device\NetBT_Tcpip_{032C0F96
-BD98-40F8-B7A8-3AB2A08BBC8F}] SEQPACKET 0
提供程序 ID: {8D5F1830-C273-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1025
版本: 2
地址族: 17
最大地址長度: 20
最小地址長度: 20
Socket 類型: 5
協議: -***********
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD NetBIOS [\Device\NetBT_Tcpip_{032C0F96
-BD98-40F8-B7A8-3AB2A08BBC8F}] DATAGRAM 0
提供程序 ID: {8D5F1830-C273-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1026
版本: 2
地址族: 17
最大地址長度: 20
最小地址長度: 20
Socket 類型: 2
協議: -***********
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD NetBIOS [\Device\NetBT_Tcpip_{850A0599
-EF51-457F-AF64-DAE0008E152A}] SEQPACKET 1
提供程序 ID: {8D5F1830-C273-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1027
版本: 2
地址族: 17
最大地址長度: 20
最小地址長度: 20
Socket 類型: 5
協議: -1
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD NetBIOS [\Device\NetBT_Tcpip_{850A0599
-EF51-457F-AF64-DAE0008E152A}] DATAGRAM 1
提供程序 ID: {8D5F1830-C273-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1028
版本: 2
地址族: 17
最大地址長度: 20
最小地址長度: 20
Socket 類型: 2
協議: -1
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0B17E7D3
-1C6C-4F87-B80E-6493CCE0C1B2}] SEQPACKET 2
提供程序 ID: {8D5F1830-C273-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1029
版本: 2
地址族: 17
最大地址長度: 20
最小地址長度: 20
Socket 類型: 5
協議: -2
協議鏈長度: 1
Winsock 目錄提供程序項
------------------------------------------------------
項類型: 基本服務提供程序
描述: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0B17E7D3
-1C6C-4F87-B80E-6493CCE0C1B2}] DATAGRAM 2
提供程序 ID: {8D5F1830-C273-11CF-95C8-00805F48A192}
提供程序路徑: %SystemRoot%\system32\mswsock.dll
目錄項 ID: 1030
版本: 2
地址族: 17
最大地址長度: 20
最小地址長度: 20
Socket 類型: 2
協議: -2
協議鏈長度: 1
命名空間提供程序項
------------------------------------------------------
描述: Tcpip
提供程序 ID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B}
命名空間: 12
活動: 1
版本: 0
命名空間提供程序項
------------------------------------------------------
描述: NTDS
提供程序 ID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC}
命名空間: 32
活動: 1
版本: 0
命名空間提供程序項
------------------------------------------------------
描述: Neork Location Awareness (NLA) Namespace
提供程序 ID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83}
命名空間: 15
活動: 1
版本: 0
命名空間提供程序項
------------------------------------------------------
描述: NWLink IPX/SPX/NetBIOS Compatible Transport
Protocol
提供程序 ID: {E02DAAF0-7E9F-11CF-AE5A-00AA00A7112B}
命名空間: 1
活動: 1
版本: 1
可以判斷是否被修改了winsock