是否出了新病毒?

经验总结:
1、该东西是类似3721的垃圾公司出品;
2、该东西可以用清除传统木马方式处理;
3、该东西可以用本机hosts文件对付;
建立hosts文件
win98系统,c:\windows 文件夹中
win2000/xp,c:\Winnt\System32\Drivers\Etc 文件夹中
附:hosts
127.0.0.1 localhost
127.0.0.1 www.3721.net # 3721网络实名
127.0.0.1 3721.com # 3721网络实名
127.0.0.1 3721.net # 3721网络实名
127.0.0.1 cnsmin.3721.com # 3721网络实名
127.0.0.1 cnsmin.3721.net # 3721网络实名
127.0.0.1 download.3721.com # 3721网络实名
127.0.0.1 download.3721.net # 3721网络实名
127.0.0.1 www.3721.com # 3721网络实名
127.0.0.1 www.3721.net # 3721网络实名
127.0.0.1 bar.baidu.com # 百度IE搜索伴侣
127.0.0.1 www.baidu.com # 百度IE搜索伴侣
127.0.0.1 baidu.com # 百度IE搜索伴侣
127.0.0.1 www.henbang.net #很棒公司
  我的电脑经常重启,症状就是开机后,提示瑞星出错,然后开IE,点击一个链接就出错。你说就是我的机器就算了,同事也有这样症状……谁知道……
  在启动注册表中发现了winup.exe的启动条目,让我给删除了。后来升级了瑞星,发现有这个病毒文件:
  C:\WINNT\system32\winup.exe
  重新启动后,又给我写到注册表中了。
[1 ]在IE的工具里点\”管理加载项\”,禁用Downloadvalue Class , EyeOnIe Class ,URLMonitor Class
[2] 在system32中运行一下henbangkiller.exe 再删除 winhtp.dll hap.dll xpieknl.dll winup.exe
[3] 在注册表中删除HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Run下的winup 键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 下的updata键
在网上找到的消息,说很棒软件的公司已经发来了回复,很感谢他们这种对用户负责的态度。以下为该公司提供的解决方法:
请到控制面板里双击【添加/删除程序】图标,然后在弹出的对话框中选中“HAP”项,再按【更改/删除】按钮可以卸载本软件。
您的问题也许可以通过本软件的版本更新来解决,在卸载了旧版本之后,您可以到http://www.henbang.com站点去下载最新的软件安装包安装。再次感谢您对本软件提出宝贵意见,如果您有其他问题需要我们解决,可以直接联系我公司客户服务部(support@henbang.com)。
另据:
安装了很棒小秘书软件后除了在安装目录生成文件外,还会在C:\Windows\System32目录中生成hda.ini、winup.exe和 winhtp.dll文件。通常你按照软件的说明删除该软件后,每次在启动IE浏览器或资源管理器的时候总会将Winup.exe写入注册表 HKEY_CURRENT_USER-SOFTWARE-MICROSOFT-WINDOWS-CURRENTVERSION-RUN中(图一http://blog.csdn.net/zhong1982/gallery/image/34736.aspx),让其开机自运行。这一问题让我恼火了几天。
这其中一个名为winhtp.dll在整个事件中扮演了一个很重要的角色。通过对winhtp.dll的观察可以大概的知道它的功能是做什么用的了。通过(图二http://blog.csdn.net/zhong1982/gallery/image/34737.aspx)我们可以看到这个dll文件所涉及到的所有动态链接库。我们看看它用到ADVAPI32.DLL文件中的那些函数(图三http://blog.csdn.net/zhong1982/gallery/image/34738.aspx),很显然图三中所显示的函数的功能是涉及对注册表操作的,如果写过操作注册表的程序的话,我们可以发现图三中所显示的函数可以对注册表的健值进行检查,创建。联系我们开始提到过的图一,我们可以明白为什么当我们在注册表中删除了winup.exe的自动运行的健值后每次打开IE或资源管理器后还会在注册表中创建winup.exe的自动运行的健值了。正是使用图三中的函数对注册表进行检测,看是否在HKEY_CURRENT_USER-SOFTWARE- MICROSOFT-WINDOWS-CURRENTVERSION-RUN中有winup.exe,如果没有就会再次创建。
说到这里又有一个问题,有人会说我为什么我一使用IE浏览器或资源管理器的时候就会激活这个动态链接库呢?因为大家都知道,在有些恶意网站为了提高自己网站的知名度往往使用绑架浏览器的方法,让浏览器在运行的时候自动转到他们的网站上,为了达到这个目的,其手法无非一下这几种:1.将浏览器的主页设置为该网站的网址,通常这种方法是很温和的,因为它允许你将你的主页再改回来。2.在将你的主页改成他们的网站的同时,他们还会在你的电脑上种上一个小程序,很小很小的程序,当然也可以是动态链接库。这个小程序会被写入注册表中的自动运行项中,让你的电脑一开机就运行这个程序,而这个程序的主要作用就是将你的主页改成他们的网站地址。这就是为什么我们将主页改了回来后,下次开机的时候又被改了回来的缘故。如果遇到更狠一点的,它会将你的注册表锁住,让你改都改不回来。3.再就是再浏览器启动的时候运行某个程序或动态链接库(这里说的不是在system.ini中的shell explorer 后加入要启动的程序,当然了,这个也要注意)。以XP+SP2为列,在浏览器中点击:工具-管理加载项,你就会发现很多IE浏览器启动时加载的文件(可以是程序或动态链接库),这些控件在IE浏览器启动的时候会进行一些初始化操作(这些操作当然可以用来修改注册表或对硬盘上的文件进行文问)。那个让我们头痛的Winup.exe就是用了这个方法使得我们一打开浏览器或资源管理器的时候就会将Winup.exe写入自动运行项了(图四http://blog.csdn.net/zhong1982/gallery/image/34739.aspx)。
因此解决这个问题我们有这么几个解决方法:1.将C:\Windows\System32目录下的winup.exe和winhtp.dll删除,这样没有了winhtp.dll文件,E启动的时候当然没法用它来对注册表进行操作了。2.打开浏览器点击:工具-管理加载项,然后将涉及到 winhtp.dll文件的加载项禁用。
通过对这个问题的解决我们又知道了一个新的让程序自动运行的方法。除了大家都知道的几种方法外,还存在另外一种让程序自动运行的方法,就是将其设为为IE浏览器的启动加载项。至于具体的做法,我会在以后通过程序代码的方式发布出来。
(以上的方法在不同的平台上可能不同,但是方法大致相同,本人的机器系统为WinXP Pro+SP2)
这几天我发现kv老是提示将WINUP.EXE设为自启动,而且进程里多了个dllhost.exe文件。我将这两个文件删了后,不一会,启动里又莫名其妙增加一个,郁闷死了!
后来我发现有一个叫winup.exe的程序在windows\system32目录底下,我当然是马上把它删除了,没想到连病毒的主程序的删除了,启动里还是会自动增加一个叫winup的项目。
后来我发现还有一个叫hda.ini的程序和winup有关联
分析hda.ini的内容:
[update.dll]
version=1.0.5
[version]
component version=1.0.4
update switch=yes
packagepath=D:\WINDOWS\system32\Henbangtemp\100_104.exe
register=no
component_version=1.0.7
update_switch=no
path=D:\WINDOWS\system32\henbangtemp\UpdatePackage.exe
mend_verion=1.0.7
[uninstall]
directory=$Program Files$\henbang
files=$system$\hda.ini,$system$\download.dll,$system$\popad.exe,$system$\hdp.ini
unreg=download.dll,fail
[winhtp.dll]
version=1.0.7
update_switch=no
[SendOldMac]
switch=yes
[status]
onlineTime=2004-11-24
value=update
uninstallTimes=uninstallTimes
hdpini=1.0.7
domainName=http://www.henbang.net/download/updatelist
noticeurl=http://www.henbang.net/hap/services.aspx
cycleData=no
waitTime=20
[winup.exe]
version=1.0.7
不难看出这个病毒的来源地:http://www.henbang.net/
于是我删掉windows/system32里的winup.exe,hda.ini和winhtp.dll,henbangtemp 文件夹 以及Program Files\henbang文件夹
可是这样做以后,并不能阻止启动里自动增加winup
http://blog.csdn.net/zhong1982/archive/2004/12/12/213455.aspx