关于Skydock以及wsknis.dll(wtlair.dll) wstdik.dll bitdot.dll和SPORDER.dll

2007年12月18日 | 分类: 晒晒 | 标签:
发表评论 | Trackback

关于Skydock以及wsknis.dll(wtlair.dll) wstdik.dll bitdot.dll和SPORDER.dll

btlulu原创文章
转载请保留此处:http://blog.btlulu.net/2007/12/18/skydockwstdik/

这几天看SREng的日志时连续碰到两例出现一个名为Skydock的启动项,感觉不是什么好东西。google了一下发现没有多少相关信息,只有台湾的一个网站有所提及(http://bbs-mychat.com/read.php?tid=664535&page=e)。

在SREng的log中具体表现如下:
启动项目-注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<SkyDock><; C:\WINDOWS\system32\Rundll32.exe “C:\PROGRA~1\INTERN~1\CONNEC~1\wsknis.dll”,WaitWindows>  [Microsoft Corporation]
或者
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SkyDock><C:\WINDOWS\system32\Rundll32.exe “C:\PROGRA~1\INTERN~1\CONNEC~1\wtlair.dll”,WaitWindows>  [Microsoft Corporation]

浏览器加载项:
[wtobj Class]
{952DAA4D-DD43-4CD8-BB12-E0B4B8B7B3F1}
<C:\PROGRA~1\INTERN~1\CONNEC~1\wsknis.dll, Microsoft Corporation>
或者
[wtobj Class]
{952DAA4D-DD43-4CD8-BB12-E0B4B8B7B3F1}
<C:\PROGRA~1\INTERN~1\CONNEC~1\wtlair.dll, Microsoft Corporation>

有这三个dll注入进程:
C:\WINDOWS\system32\wstdik.dll
C:\WINDOWS\bitdot.dll
C:\WINDOWS\system32\SPORDER.dll
例如:
[PID: 2228][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation,
5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\bitdot.dll]  [ Microsoft Corporation, 1, 0, 2, 1]
[C:\WINDOWS\system32\wstdik.dll]  [Microsoft Corporation, 1, 0, 0, 1]
[C:\WINDOWS\system32\SPORDER.dll]  [Microsoft Corporation, 5.00.2095.1]

winsock提供者:
ML_IP
C:\WINDOWS\system32\wstdik.dll(Microsoft Corporation, Microsoft
Communicate Improve Service Provider)
ML_UDP_CHAIN
C:\WINDOWS\system32\wstdik.dll(Microsoft Corporation, Microsoft
Communicate Improve Service Provider)

API HOOK:
入口点错误:OpenProcess (危险等级: 高,  被下面模块所HOOK:
C:\WINDOWS\bitdot.dll)

在MSDN上查了一下,Sporder.dll本身应该只是帮凶,以达到修改winsock的目的(http://msdn2.microsoft.com/en-us/library/ms742263.aspx)。
wsknis.dll(wtlair.dll) wstdik.dll bitdot.dll这几个都是极其可疑的,建议清除。

清除方法:
先用XDelBox之类的工具删除以下文件:
C:\PROGRA~1\INTERN~1\CONNEC~1\wsknis.dll
C:\PROGRA~1\INTERN~1\CONNEC~1\wtlair.dll
C:\WINDOWS\system32\wstdik.dll
C:\WINDOWS\bitdot.dll
C:\WINDOWS\system32\SPORDER.dll

再用SREng进行如下操作:
1. 删除以下注册表启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<SkyDock><; C:\WINDOWS\system32\Rundll32.exe “C:\PROGRA~1\INTERN~1\CONNEC~1\wsknis.dll”,WaitWindows>  [Microsoft Corporation]
或者
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SkyDock><C:\WINDOWS\system32\Rundll32.exe “C:\PROGRA~1\INTERN~1\CONNEC~1\wtlair.dll”,WaitWindows>  [Microsoft Corporation]

2. 在系统修复-浏览器加载项中删除这个:
[wtobj Class]
{952DAA4D-DD43-4CD8-BB12-E0B4B8B7B3F1}
<C:\PROGRA~1\INTERN~1\CONNEC~1\wsknis.dll, Microsoft Corporation>
或者
[wtobj Class]
{952DAA4D-DD43-4CD8-BB12-E0B4B8B7B3F1}
<C:\PROGRA~1\INTERN~1\CONNEC~1\wtlair.dll, Microsoft Corporation>

3. 系统修复-Winsock供应者中点“重置所有内容为默认值”

目前还没有任何评论.