病毒……杀无赦！！

cahmill

近一段时间每天开机都会出现如图1的那个提示框，如果猫开着就会有图2、图3的警告，否则没有。平时没事，懒得理它，今天郁闷了，决意要干掉这个不长眼的东西！连我都敢招惹，哼！！
我记得在若干天以前上网的时候经常莫名其妙的出现一个联想公司的广告，不随浏览器运行，出现的时候再任务管理起“进程”下可以看到两个rundll同时运行，关闭其中一个即可，过一段时间还会出现，再关。虽然知道有问题，但是不算碍事，占用资源很少，而且联想那广告也不算难看，俺这人懒，没理它。几天后升级俺的System Mechanic，下载后门定义之后报警有个后门程序，随手删了，想起来有两个rundll，觉得不爽，删掉一个。也没再理它。第二天就开始出现这些提示框，诺顿9杀不掉木马，自己又找不到。想想可能是删错东西了，反正不碍事，直接关掉之后该干啥干啥。如此持续若干天……
汗……
今天心情不好，看见它觉得不爽了，copy下来决意干掉！
这时才看提示框，原来是个叫pupw.sys的找不到模块。google一下这个pupw.sys，竟然发现自己捡到“宝”了，这东西原来是个流氓软件的残留物。流氓软件是一个叫做henbang的混帐公司制作传播的，亏了联想还找它做广告，TNND！！
对流氓公司和为富不仁的混帐公司一律杀无赦！！
因为诺顿9对着东西无能为力，继续google查找应对方案。首先使用了一个脚本，用于激活全部动态链接库的，但是在运行过程中有不能读取内存的提示。觉得不妥，继续找。继而在更多网站发现这是个流氓软件，此时才把这个pupw.sys和诺9报木马病毒的事联系起来，按照这个思路再找，发现不但可以肯定是个木马，而且网上已经有几个大同小异的解决方案，北京DX大头鱼的blog里面的最详细，照办。果然发现名称、特征与方案中所述相同的文件，杀！！
清楚之后，本着小心使得万年船，斩草不可留根的原则，继续看了其他的一些搜索结果，竟然明显误导读者的blog的留言里发现了一个名为飘过的的人在留言眼开列了与此木马相关的文件，喜，一一找出来，杀！！
至此，已经差不多了。继续发扬斩草除根的革命精神，打开注册表编辑器，以飘过的名单为条件搜索，删掉所有的相关注册表项目。发现HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru项目下有5603、5604两个子项，其中的键值几乎都与这流氓软件有关。懒得一个个分辨了，随意株连一下，杀无赦！！至于那个ACMru和Search Assistant两个上级文件夹，俺E文不好又懒得去查，再加上多少算是半个电脑盲，本着小心使得万年船原则，不要到最后杀人顺手再杀了自己，就没敢动……
全部杀完之后效果还是不错的，热启冷启各一次，安然无恙。
世界清静了……  心情不错


图片注释：
1、pupw.sys不能调用模块的提示，这个是开机之后第一个蹦出来的。
2、servup.exe关闭提示。第二个出现
3、诺顿的病毒警报，无法查杀木马。第三个出现
5、使用脚本reg.bat重新激活全部的动态链接库。脚本在网上得到，不知道正确与否，但是按照他的这个思路，在解决这个木马的过程中应该也是一种误导。已经删除

equn

一般文件锁定，然后去注册表查，全部清除。相关文件，先UNLOCK，然后全删。

恭喜楼主！

cahmill

图片注释续：
4、脚本运行过程中报“read”错
6、脚本运行过程中报“written”错
7、注册表中的流氓残渣（5604已经删掉了）

cahmill

脚本内容：

For %%i in (c:\windows\system32\*.dll)Do regsvr32.exe/s %%i
For %%i in (c:\windows\system32\*.ocx) Do regsvr32.exe/s %%i

要求用记事本保存为 reg.bat，保存到X:\WINDOWS\system32目录下

看上去似乎无害，但是为何运行过程中报错呢？俺是菜鸟不懂，那位学这个的有空给解释下哈

[ Last edited by cahmill on 2006-2-15 at 21:41 ]

cahmill

搞错了，北京的DX叫“鱼泊洋”，不是大头鱼

汗死…………

索性把鱼大侠的解决方案贴过来

]一个可恶的国产广告软件个人查杀方案
boks 8:20 PM..sorted in: 认知
关键词：henbang， HAP， pupw.sys

首先是无缘无故的时不时冒出个畏首畏尾默认最小化的新窗口，地址或标题上有henbang的字样，明显的有AD虫子作祟

周末诺顿SCAN硬盘后C盘发现两个广告软件，随即删了，也没在意；

于是这两天系统（xp sp2 正宗D版）起来时老弹出报错窗口：说系统目录下system32－－drivers－－Pupw.sys是无效的windows映像，点了确定又弹出一个同样关于pupw.sys的窗口，再确定；讨厌之极

so加上问了下Dr Google综合方案如下：

1，控制面板的软件删除里把HAP删了，如果还在的话－－我的早没了

2，运行里regedit命令调出注册表编辑器搜索pupw.sys,翻出一个HKEY_LOCAL_MATHINE－－SoftWare－－Microsoft－－Windows－－policies－－Explorer－－run(一层层找不如搜索来得快:)里面有一个键值似乎是helperdll，老长的一行里有pupw.sys，在rundll前面，开始我还只是把pupw.dll揪出来，现在已经把Explorer下面的run子目录删了，哼哼..

3,对于pupw.sys这个肇事者，呵呵，在system32–drivers目录下建议找出Pupw.sys 以及同目录下的Khdap.sys ， Madbp.sys ， Ustqilnr.sys状态栏上可以看出是HAP公司的。我是怎么找出它们的？－－用ghostExplorer打开前些日子作的系统ghost image，我把driver目录提出来一个个文件对比多出来的这几个，相信我，看到了就删

4，又C盘搜索HAP时发现在pupw.sys 的上层目录system32下还有毒瘤hap.dll，建议使用‘详细信息’的方式查看，按照‘创建时间’排列（默认只有‘修改时间’列，右键把‘创建时间’打勾勾出来），这时就可以看到团伙了，hihi，大约四五个文件跟hap.dll同时创建，只记得其中一个henbangkiller.exe，还有一个好像是自删除exe文件，我双击了没反应，其他的，不好意思，一时无名火起，Shif＋del了，反正落户时间同时同分的就这几个，既然同年同月生，就成全它们兄弟一场桃源之义吧

目前重启了两次，还没动静，应该剿灭的差不多了；有问题再补叙吧。总结原因，应该是前些日子下了几个开机关机的国产小软件玩，看着不好随即删了，结果种子播下了

参考链接：
关于HenBang广告程序的综合解决方法@ 软件交流：有些语焉不详，我不能十分对症下药，权作参考

开机后出现一个错误窗口 pupw.sys @看来看去:先找到这里的，冒失了一回，嘿..

cahmill

飘扬的相关文件清单
文件夹:
henbangtemp
文件:
history.ini
INSTALL.LOG
unregister.ini
hdp.ini
HenbangKiller.exe
hap.dll
hda.ini
popcounts.ini
uninstall.exe
win.htm
winhtp.dll
winup.exe
updateinfo.ini