avp.exe 造成 winsock 設定更改之修復

鬼〃娃娃°

【原文取自微軟官網】【編修者：kerash】
編者：噢X，看到文章的最後才發現微軟的賤處...
「這篇文章中的資訊適用於:
• Windows Vista 家用入門版
• Windows Vista 家用進階版
• Windows Vista 商用入門版
• Windows Vista 商用進階版
• Windows Vista 旗艦版
• Microsoft Windows Update
• Microsoft Update 」

若網路遭到修改，直接看到最後執行 cmd 的部分即可。
-----------------------------------


　　最近在網路上似乎很多人受到 avp.exe 木馬的攻擊，造成 winsock 被修改，
最後木馬刪除後因 dll 連接錯誤導致無法上網，現在微軟已經提供即時解決方案了。

　　首先要確認你的電腦是否中了 avp.exe ，若不確定工作管理員中的 avp.exe 是不是真的木馬（對於卡巴防毒軟體使用者而言，其他就不用太判斷了）。請選搜尋整台電腦（快捷=微軟鍵+F），接著選擇[進階選項] > 勾選[搜尋系統資料夾],[搜尋隱藏檔案及資料夾],[搜尋子資料夾]，接著檔案名稱輸入「od*media.dll」，這樣就有辦法找到是不是有相關聯的 dll ，若找到代表中鏢了，直接進入刪除狀態。

　首先在手動刪除之前，請進入安全模式[開機+F8]，接著確認工作管理員中沒有 avp.exe 正在被執行。
若有的話手動關閉即可。再來要進入到電腦機碼的部份，請按照步驟執行，若誤刪任何資料筆者及微軟不負責任

-----------------此區XP不一定有，是VISTA的才絕對有，這裡是關於驗證的問題----------------------

執行>regedit>找到以下機碼位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
在根目錄點右鍵 > 匯出，存一份在電腦中，避免錯誤發生。
找出VGADown的目錄資料，按 del 整個刪除。

接著繼續找到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
跟上面同樣的步驟，右鍵 > 匯出，備份在電腦裡
接著找出LEGACY_VGADOWN，將整個資料刪除

QUOTE:

---

※附註　微軟的解說是將 *.reg 存到 c:\ 之下，名稱也有寫，雖然可能是避免使用者誤刪後可以即時找到檔案復原，但應該是無妨。為了教學責任的需要，我還是在這裡補充它的內容

VGADown的資料，匯出時檔名輸入 C:\VGADown.reg
LEGACY_VGADOWN的資料，匯出時檔名輸入 C:\LEGACY_VGADOWN.reg

---

-----------------此區XP不一定有，是VISTA的才絕對有，這裡是關於驗證的問題----------------------

當上面動作一切都 OK 後，搜尋整台電腦(搜尋步驟如上)，找到木碼檔並且刪除。
可疑生成檔：
avp.exe
-----其中一個-----
od7media.dll
od6media.dll
odemdia2.dll
od2media.dll
od5media.dll
od10media.dll
-----其中一個-----

接著重新開機回到正常模式，確認是不是真的已經沒有 avp.exe 執行。

再來的動作是修復 winsock ，請執行「命令提示字元(cmd.exe)」，方法就是執行 cmd.exe 。
接著檢查一下之前是不是真的有受到感染。
輸入 netsh winsock show catalog ，
若有被感染，則其中的路徑應該會有出現 C:\WINDOWS\system32\od*media.dll
（我之前中過沒測試，不過現在修復後再打，連接的都是正常的 dll 了）。
這時候開始進行修復動作。

同樣的在命令提示字元中，輸入 netsh winsock reset ，等待一段時間後再重新開機。

這時候電腦應該是恢復到可連線網路並且瀏覽網頁的狀況了。


雖然網路有 winsockXPFix 修復工具，但是有時候臨時沒有保存或者是沒辦法取得的狀況，因此特提供這篇讓大家參考，讓大家在緊急的時候可以及時修復。





來源：微軟 + 個人編整