【求助】网络连接正常，无法浏览网页，也无法上QQ! bbs.ikaka.com

maokewu - 2006-9-26 16:56:00

同事的一台Dell笔记本电脑，操作系统是正版Windows XP Home Edition SP2，中了病毒（该机已安装正版诺顿杀毒），无法上网。经我检查后发现进程中有svohost.exe。此病毒原来曾遇到过，它会导致瑞星杀毒无法运行，也无法重新安装。但处理却很简单，首先在任务管理器中终止该进程，到%Systemboot%\System32\下删除svohost.exe即可正常安装瑞星并进行杀毒。但这次却不那么幸运，到%Systemboot%\System32\下没发现svohost.exe这个文件。随后通过控制面板的“文件夹选项”中将“查看”中的相关设置改为显示所有的文件及文件夹（包括隐藏的操作系统文件及文件夹），还是没发现svohost.exe这个文件。回头再次查看“文件夹选项”的设置，发现又被改回系统默认设置。通过Linux引导光盘启动电脑后终于在%Systemboot%\System32\下找到了svohost.exe文件，并将其删除，与此文件有关的文件还有sxs.exe也一并删除，但sxs.exe的位置一般在系统中各逻辑盘的根目录（即可能在C盘或D盘，甚至是E盘）。重启电脑后在注册表中删除与这两个文件相关的注册项。但还是无法打开网页和上QQ。用winsockfix.exe进行修复，点击提示winsock修复成功的按钮后，却又提示文件找不到。执行系统更新却能正常运行，并更新了34个补丁。但重启电脑后故障依旧。可以Ping许多远程服务器和本地DNS服务器。QQ连接不通时，其返回的详细信息是UDP和TCP协议无法解析。
　　哪位高手遇到过类似的问题，是否有合理的解决办法？

单行线0417 - 2006-9-26 17:34:00

震荡波　没啥说的　重做系统　格盘吧

maokewu - 2006-9-26 18:02:00

引用:

【单行线0417的贴子】震荡波　没啥说的　重做系统　格盘吧
………………

不可能吧？震荡波打个补丁就可以了。而且震荡波会重启电脑啊？震荡波流行期间，我仅用手工即可对付。

maokewu - 2006-9-26 19:24:00

【回复“maokewu”的帖子】
难道没有第二个人遇到这种情况吗？

maokewu - 2006-9-26 20:44:00

中此病毒最大的特点是无法看到系统的隐藏文件。

maokewu - 2006-9-26 23:25:00

今天没希望了。唉！

maokewu - 2006-9-27 8:57:00

再次使用winsockfix.exe修复winsock，报告修复成功，点击确定后重启电脑，未报告出错消息。但电脑重启后，故障依旧，随后又使用超级兔子对一些网络参数进行了“优化”，但仍然解决不了问题。

ZHAOBEI - 2006-9-27 9:19:00

下个卡巴。它能解决你的问题。

阳台kaka - 2006-9-27 9:30:00

这么费事还不如GHOST恢复
.....
拨号上网的瞬间也不能打开网页么?如果可以的话,去瑞星下载个橙色八月进安全模式杀杀看

maokewu - 2006-9-27 11:44:00

引用:

【ZHAOBEI的贴子】下个卡巴。它能解决你的问题。
………………

此病毒用瑞星可以杀除，但用瑞星2006光盘启动电脑杀毒，却发现根本找不到Dell笔记本的任何分区（？），而且该机装有诺顿，卸载诺顿要有超级管理员权限，但无法知道超级管理员密码。

maokewu - 2006-9-27 14:11:00

引用:

【阳台kaka的贴子】这么费事还不如GHOST恢复
.....
拨号上网的瞬间也不能打开网页么?如果可以的话,去瑞星下载个橙色八月进安全模式杀杀看
………………

瑞星橙色八月专杀已运行过，未找到病毒（是在手工删除svohost.exe、sxs.exe和winscok.dll之后运行），若能重装系统这位同事就不会找我帮忙了。

diaofy - 2006-9-27 14:16:00

跟我的问题有点象啊.期待解决.

不想一个人玩 - 2006-9-27 14:19:00

可以的话去下面的帖子3楼，下个软件去你朋友的电脑上扫一下，然后把日志贴上来，因为不知道电脑具体情况的话是帮不了你的

maokewu - 2006-9-27 14:33:00

引用:

【不想一个人玩的贴子】可以的话去下面的帖子3楼，下个软件去你朋友的电脑上扫一下，然后把日志贴上来，因为不知道电脑具体情况的话是帮不了你的

………………

Logfile of HijackThis v1.99.1
Scan saved at 14:21:27, on 2006-9-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\conime.exe
E:\杀毒工具\HijackThis1.99.1\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - C:\PROGRA~1\SUPERR~1\MagicSet\HAOKAN~1.DLL
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O3 - Toolbar: 超级兔子上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - C:\PROGRA~1\SUPERR~1\MagicSet\HAOKAN~1.DLL
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O17 - HKLM\System\CCS\Services\Tcpip\..\{52C7CF05-2E8E-4548-B5E5-E761C1F8D3CD}: NameServer = 61.166.150.101,61.166.15.170
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: java - Unknown owner - C:\WINDOWS\java.exe
O23 - Service: Norton AntiVirus 自动防护服务 (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WLANKEEPER - Intel? Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe

laov - 2006-9-27 14:50:00

我看不像病毒引起的，到像你的浏览器设置的问题，可以把tcp/ip协议冲撞下。

救命病毒来啦 - 2006-9-27 14:57:00

修复
R3 - Default URLSearchHook is missing

停止这个服务
Service: java - Unknown owner - C:\WINDOWS\java.exe
删除注册表相对应的项目
删除相应的文件及相关联的文件
本项名字叫jave，但是感觉不好

关于不能显示全部文件，多数注册表被改，改回来就好了

请大家指教

救命病毒来啦 - 2006-9-27 15:12:00

显示所有文件
核对注册表项键值，修改为如下的对应值即可

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="显示所有文件和文件夹" （或者为@shell32.dll,-30500）
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
本修改方法来自瑞星客户中心
数值为16进制
请备分注册表

maokewu - 2006-9-27 15:35:00

引用:

【laov的贴子】我看不像病毒引起的，到像你的浏览器设置的问题，可以把tcp/ip协议冲撞下。
………………

TCP/IP协议我用命令netsh int ip reset重置过，问题是QQ也上不了，而且奇怪的是Windows更新和诺顿杀毒更新都正常。

不堪回首 - 2006-9-27 15:42:00

关注！
我前几天同事的电脑出同样的故障，没办法格了

maokewu - 2006-9-27 15:49:00

引用:

【救命病毒来啦的贴子】显示所有文件
核对注册表项键值，修改为如下的对应值即可

………………

对不起，我没说清楚，手工清除svohost.exe、sxs.exe和winscok.dll后对注册表已作过处理，隐藏文件无法显示的问题已解决。关键是网络连接正常，Windows和诺顿杀毒更新正常，但就是无法浏览网页和上QQ。

yjdhell3 - 2006-9-27 15:52:00

这位高手!我现在机子也中了svohost.exe!请问下进程断了后!
%Systemboot%\System32\这个是在那里找啊
C盘那里的?

diaofy - 2006-9-27 15:54:00

建议winsockfix.exe修复后再用lspfix.exe修复一下试试.

carnorlee - 2006-9-27 15:56:00

纠正一下,java.exe是正常的服务,不需要处理!
另外,偶觉得楼主这种情况应该是IE HOST及winsock2遭破坏所致,建议用超级兔子的IE修复试试

yjdhell3 - 2006-9-27 15:57:00

手工删除的%Systemboot%\System32\那个是在那里啊！~
哦不知道那里找！~

diaofy - 2006-9-27 15:59:00

如果系统在C盘则为:"c:\windows\System32\"
以此类推.

maokewu - 2006-9-27 16:01:00

引用:

【yjdhell3的贴子】这位高手!我现在机子也中了svohost.exe!请问下进程断了后!
%Systemboot%\System32\这个是在那里找啊
C盘那里的?

………………

按照16楼的办法恢复注册表相关的设置，通过文件夹选项中将隐藏文件显示出来，应该可以找到（我是采用别的系统引导电脑删除病毒文件svohost.exe、sxs.exe和winscok.exe）。

闲友 - 2006-9-27 16:05:00

我的机器也出现了这种情况，不知道到底是怎么回事，没办法，呢重装

laov - 2006-9-27 16:06:00

能更新说明网络是好的，不能上QQ和浏览器，估计是这两个的问题，是不是用了什么代理，实在不行，下个别的浏览器试试，能不能上。

maokewu - 2006-9-27 16:08:00

引用:

【diaofy的贴子】建议winsockfix.exe修复后再用lspfix.exe修复一下试试.
………………

已经试过，只是操作顺序没按你的步骤进行。一开始我用WinsockXPFix.exe修复，无用后又重置TCP/IP协议，还是无效，才用lspfix.exe修复。

laov - 2006-9-27 16:10:00

问一下
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
是自己弄得么？

瑞星卡卡安全论坛