TWed2k - 心得教學區 - [推薦]惡意程式影響 Windows Socket LSP 導致無法使用 Windows Update 更新

Basuya
銅驢友〔初級〕

酒薄煙斷，神清氣爽

今日心情

．積分： 122
．精華： 1
．文章： 675
．收花： 738 支
．送花： 385 支
．比例： 0.52
．在線： 1368 小時
．瀏覽： 1510 頁
．註冊： 7114 天
．失蹤： 4455 天
． Kaohsiung

#1 : 2007-6-26 07:19 PM 只看本作者	送花 (3) 送出中...

搜尋過，應該沒人貼過此技術文章，且對每個電腦使用者有幫助！

程式影響Windows Socket LSP導致無法使用Windows Update更新

徵狀：
您可能會發現資訊安全中心Windows更新停止不動；或當您嘗試透過Internet Explorer連結 Microsoft Windows Update 網站進行更新時，發生Internet Explorer瀏覽器停止運作。此外，於Windows XP中亦會導致無法正常關機；Windows Vista開啟控制台中的檢查更新會導致系統停止運作。

發生的原因：
此為惡意軟體影響Windows Socket LSP(Layered Service Provider)正常運作所導致。

解決方案：
步驟一：手動清除病毒
a. 如果要使用「安全開機」選項，請依照下列步驟執行：
1. 重新啟動您的電腦。
2. 按下 F8 鍵。電腦如果設定為多重作業系統啟動，出現 [啟動] 功能表時，請按下 F8。
3. 使用方向鍵選取 [安全模式] 選項，然後按下 ENTER。
b. 如果要使用「工作管理員」來結束處理程序，請依照下列步驟執行：

按 CTRL+ALT+DEL。在[處理程序] 索引標籤上，請確認是否有AVP.exe程式正在執行，若有按一下 [AVP.exe]，然後按一下 [結束處理程序]。
c. 請依照下列步驟執，以匯出即刪除 Windows 登錄中的 VGADown 及 LEGACY_VGADOWN 項目。

警告不當使用「登錄編輯程式」可能會導致嚴重的問題，甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。

請依照下列步驟執，以匯出 Windows 登錄中的 VGADown 及 LEGACY_VGADOWN 項目。
1. 按一下 [開始]，再按一下 [執行]，在 [開啟] 方塊中輸入 regedit，然後按一下 [確定]。
2. 找出並按一下下列登錄機碼：
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
3. 在 [檔案] 功能表上，按一下 [匯出]。
在 [檔案名稱] 方塊中，輸入 C:\VGADown.reg，然後按一下，以儲存登錄檔案。
4. 在右邊窗格中，用滑鼠右鍵按一下 [VGADown]，再按一下 [刪除]。
5. 找出並按一下下列登錄機碼：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
6. 在 [檔案] 功能表上，按一下 [匯出]。
在 [檔案名稱] 方塊中，輸入 C:\LEGACY_VGADOWN.reg，然後按一下 [儲存]，以儲存登錄檔案。
7. 在右邊窗格中，用滑鼠右鍵按一下 [LEGACY_VGADOWN]，再按一下 [刪除]。
8. 按一下 [關閉]，以關閉 [登錄編輯程式]。
d. 於您電腦中搜尋檔名為AVP.exe檔案，然後將此檔案刪除
e. 重新啟動電腦
步驟二：重設 WindowsSock

在 Windows XP 中
a. 以系統管理員身份登入，按一下[開始]，選擇[執行]，填入cmd。
b. 於[命令提示字元]中，鍵入 netsh winsock show catalog ，按下[Enter] 。若於所顯示的畫面中，出現C:\WINDOWS\system32\od$media.dll，表示你已經遭到感染。

※請注意所發現列於WinSock LSP的檔案名稱可能因為變種而會有所不同，目前常見為下列檔案。

od7media.dll
od6media.dll
odemdia2.dll
od2media.dll
od5media.dll
od10media.dll
c. 請於[命令提示字元]中，鍵入 netsh winsock reset ，按下[Enter] 。並重新啟動電腦。
在 Windows Vista 中
a. 以系統管理員身份登入，按一下[開始]，選擇[所有程式]，選擇[附屬應用程式]，以滑鼠右鍵點選[命令提示字元]選擇以[以系統管理員身份執行]。
b. 於[命令提示字元]中，鍵入 netsh winsock show catalog ，按下[Enter] 。
若於所顯示的畫面中，出現C:\WINDOWS\system32\od$media.dll，表示你已經遭到感染。

※請注意所發現列於WinSock LSP的檔案名稱可能因為變種而會有所不同，目前常見為下列檔案。

od7media.dll
od6media.dll
odemdia2.dll
od2media.dll
od5media.dll
od10media.dll
c. 請於[命令提示字元]中，鍵入 netsh winsock reset ，按下[Enter] 。並重新啟動電腦。

請參考938471 。
http://go.microsoft.com/?linkid=7019141

相關關鍵字: 無法更新瀏覽器停止運作瀏覽器當掉無法正常關機 Vista 控制台檢查更新當機

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

innova
銀驢友〔高級〕

今日心情

．積分： 916
．文章： 2714
．收花： 7188 支
．送花： 1461 支
．比例： 0.2
．在線： 2182 小時
．瀏覽： 15182 頁
．註冊： 6978 天
．失蹤： 9 天
．火星

#2 : 2007-6-27 11:46 PM 只看本作者	送花 (1) 送出中...

Ref: http://forum.icst.org.tw/phpBB2/viewtopic.php?t=11770

這是我之前找到的一篇文章

裡面介紹的 http://www.cexx.org/lspfix.zip 還不錯用...

害怕自己亂改 register 的人可以試著用這程式

他寫的批次檔也有寫到 odXmedia.dll
可以是著執行他這隻小批次檔算是預防接種!!

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

Basuya
銅驢友〔初級〕

酒薄煙斷，神清氣爽

今日心情

．積分： 122
．精華： 1
．文章： 675
．收花： 738 支
．送花： 385 支
．比例： 0.52
．在線： 1368 小時
．瀏覽： 1510 頁
．註冊： 7114 天
．失蹤： 4455 天
． Kaohsiung

#3 : 2007-6-28 10:05 AM 只看本作者	送花 (0) 送出中...

引用:

innova寫到:

Ref: http://forum.icst.org.tw/phpBB2/viewtopic.php?t=11770

這是我之前找到的一篇文章

裡面介紹的 http://www.cexx.org/lspfix.zip 還不錯用...

害怕自己亂改 register 的人可以試著用這程式

他寫的批次檔也有寫到 odXmedia.dll
可以是著執行他這隻小批次檔算是預防接種!!

謝謝告知，我在該網站也有註冊，蠻多使用者提出非常不錯的疑問及回答，資訊快，解答的也快，不錯！！！

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

mcombbs
青銅驢友

．積分： 269
．文章： 1780
．收花： 1838 支
．送花： 807 支
．比例： 0.44
．在線： 4214 小時
．瀏覽： 4990 頁
．註冊： 6983 天
．失蹤： 10 天

#4 : 2007-7-11 08:25 PM 只看本作者	送花 (0) 送出中...

我也有出現過windows update時IE停止不動, 這個時候若去控制台看服務清單會看到一片空白. 一開始我也以為是中毒, 但我平時很小心, 而且換了幾套新掃毒軟體也掃不到什麼.

後來才發現是ccleaner的問題. 用它清除active x項目就會這樣, 還原就OK了. 所以我再也不用registry cleaner了.

當然別人有可能是真的中毒.

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆