[原创]如何清理 Linkmedia 和 37211.dll

最后由老婆的老公于 12-17-2007 1:20回复。共 6 篇回帖。

1 页/1页 (共 7 项)
	帖子排序：上篇下篇

09-05-2007 20:29

老婆的老公
加入日期 01-14-2007
嗷嗷待哺
积分 510

[原创]如何清理 Linkmedia 和 37211.dll

回复联络

一开始看到机器里有这两个流氓软件也不以为意，因为把处理流氓的任务全权委托给360安全卫士了，但是很郁闷地发现360安全卫士对这俩斯没啥办法，总是KILL不掉。遂到了安全模式又杀了一遍，可回到正常模式下又出现了，看来还真是得认真对待一下。

首先进入安全模式，通过 System Repair Engineer 来禁止 Remote iprip listener 服务并更改启动模式，彻底删除该服务及相关注册表项HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP其下的所有键和键值，再用 icesword 删除 X:\WINDOWS\system32\liprip.dll 。以上操作不进入安全模式无法顺利完成，通过ProcessExplorer可以看到 liprip.dll 绑定在一个 svchost.exe 进程下(我机器的感染源大概是AUTOCAD2007)。

继续找可疑的东西：X:\WINDOWS\winupdate.exe 在注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] 安插了启动运行，删除注册表中对应键值和 winupdate.exe 文件，以防万一在 windows 目录下新建个 winupdate.exe 文件夹。

总体上来说就是结合几种扫描软件得出可疑点的关联选项全部删除

但是进入正常模式之后 360safe 显示 LinkMedia 有残留：
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP [Start]: (4)
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP\Parameters
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP\Parameters [ServiceDll]: (G:\WINDOWS\system32\liprip.dll)
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP\Enum
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP\Enum [0]: (Root\LEGACY_IPRIP\0000)
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP\Enum [Count]: (1)
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\IPRIP\Enum [NextInstance]: (1)
删除的服务和文件再次出现，看来还没有找到问题的关键，重新回到安全模式下，发现 liprip.dll 和 rimon.dll 在同一个 svchost 进程下，而 rimon.dll 也是由 Infrared Monitor 服务自动启动，虽然不确定 rimon.dll 是否有问题，不过台式机是不需要红外的，也可以禁用。再禁用 IE 插件 QUICKFLASH 并删除 fsutk.dll。

所属分类：电脑, 木马, 流氓软件, 病毒, 计算机

帖子积分：20

09-06-2007 10:45 被此帖回复

水哥
加入日期 11-13-2006
嗷嗷待哺
积分 995

回复: [原创]如何清理 Linkmedia 和 37211.dll

回复联络

牛人，按你这个方法我确实把这两个东西清理啦，心里这个高兴啊！

清理完毕之后我把 360安全卫士的保护功能打开啦，以前都没开，不过今天上午浏览网页的时候 360保护提示我又有这几个文件正在植入系统，当时运行的软件有：Explorer Maxthon 3dsmax9 autocad 2007，当时浏览的网页有 google 地图。

不过这次比较好的是我发现虽然 Remote iprip listener 服务和 Infrared Monitor 服务虽然又改成自动启动，但可能有保护的原因两个服务并没有启动，但是注册表项又被写入了，用 icesword 看了一下相关 dll 文件也出现了。

虽然 winupdate.exe 再没出现了，不过这个 LinkMedia 实在是太烦啦！

帖子积分：20

09-06-2007 13:26 被此帖回复

老婆的老公
加入日期 01-14-2007
嗷嗷待哺
积分 510

回复: [原创]如何清理 Linkmedia 和 37211.dll

回复联络

水哥:

嗯，虽然 37211.dll 被禁止，但我的机器上 LinkMedia 也再次出现，开 360安全卫士的保护确实可以阻止 Remote iprip listener 服务和 Ifrared Monitor 服务运行，但是好像相关的 dll 文件和注册表还是被写入，IE BHO 也总是在尝试安装，而且 liprip.dll 还是运行了的(我用sReng2扫描的结果是如此)。
所以用 icesword 卸载了 svchost 进程中的 liprip.dll 模块，然后没进安全模式也能清理，清理之后又在 x:\windows\system32 下建立了两个只读文件夹 liprip.dll 和 fsutk.dll，因为我用的杀毒软件是 McAfee，所以在 McAfee 编辑了很多自定义保护规则禁止对注册表和文件的操作，目前仍在观察中……

帖子积分：35

09-08-2007 17:47 被此帖回复

水哥
加入日期 11-13-2006
嗷嗷待哺
积分 995

回复: [原创]如何清理 Linkmedia 和 37211.dll

回复联络

楼主你好，我按照你的方法做了包括 McAfee 的自定义保护规则(我用的也是 McAfee)。

不过还是偶尔会出现，不能阻止 LinkMedia 写入注册表，不能禁止服务生成，所以每每还是要手动清理(虽然在保护下已经比以前容易清理得多了)，很烦，这一定意味着我系统里边还有残留啊，是不是一定要把 AUTOCAD 2007 彻底删才行啊？！

帖子积分：5

09-25-2007 1:21 被此帖回复

水哥
加入日期 11-13-2006
嗷嗷待哺
积分 995

回复: [原创]如何清理 Linkmedia 和 37211.dll

回复联络

为了切断 Linkmedia 的源头，我在清理干净之后卸载了 AUTOCAD 2007 ，否则一运行 AUTOCAD 2007 又会被感染，迫不得已下载了 AUTOCAD 2008 并安装。

谁知道，过了几天 Linkmedia 又死灰复燃了，而且这次貌似比以前更高级，感染项更多，以前用 360安全卫士扫描只显示有残留，但是这次居然显示状态为活动，我不能不用CAD啊！GOD SAVE ME!!

帖子积分：35

09-26-2007 1:34 被此帖回复

老婆的老公
加入日期 01-14-2007
嗷嗷待哺
积分 510

回复: [原创]如何清理 Linkmedia 和 37211.dll

回复联络

水哥:

为了切断 Linkmedia 的源头，我在清理干净之后卸载了 AUTOCAD 2007 ，否则一运行 AUTOCAD 2007 又会被感染，迫不得已下载了 AUTOCAD 2008 并安装。

谁知道，过了几天 Linkmedia 又死灰复燃了，而且这次貌似比以前更高级，感染项更多，以前用 360安全卫士扫描只显示有残留，但是这次居然显示状态为活动，我不能不用CAD啊！GOD SAVE ME!!

唉...真的无奈，我的机器上 AUTOCAD 2007/2008 总得装一个，运行就无法避免地被装上，我用的浏览器是 MAXTHON ，目前来看没有什么不良症状，就是 360安全卫士扫描的时候看着不爽，所以我现在对丫采取井水不犯河水的政策。

帖子积分：5

12-17-2007 1:20 被此帖回复

老婆的老公
加入日期 01-14-2007
嗷嗷待哺
积分 510

回复: [原创]如何清理 Linkmedia 和 37211.dll

回复联络

重新下载了个 AUTOCAD 2008 ，运行了一段时间没有发现 LINKMEDIA 出现，看来是软件发布版本的问题，上来说一下给这个帖子收个尾：

如果机器运行 AUTOCAD 反复出现 LINKMEDIA 的话，卸载 AUTOCAD，彻底删除 LINKMEDIA (方法上面的帖子讨论得还比较详尽)；

用电驴从这个地址下载第一张光盘的ISO文件代替原来带插件的第一张光盘重新安装。

所属分类：linkmedia, autocad 2008, 下载

帖子积分：5

1 页/1页 (共 7 项)

搜趣堡 - 中心街区