发现和清除一个winsock木马

aaa

我的系统是xp，前些天装了apache，但总是一启动就退出，提示：
(OS 10022)提供了一个无效的参数: Child 376: setup_inherited_listeners(), WSASocket failed to open the inherited socket.
google了好多文章 有人报告这是apache的bug 说用netsh winsock reset可以解决
我试了一下 的确当时可以用 但很快就不行了
还有人用禁用LMHost查询的 也是开始管用 过一会就不行了
因为netsh启动的时候还会报:
警告: 不能从机器得到主机信息: [%name of my computer%]. 某些命令可能不能用。拒绝访问。
我想搞清楚这是怎么出错的 就干脆在virtualbox里边再装一个xp，看看配置到底有什么不一样
结果两个系统用 netsh winsock show catalog，把两边的输出结果diff一下，果然看出不同了：

我的机器：
项类型:               基本服务提供程序
描述:                MSAFD Tcpip [TCP/IP]
提供程序 ID:            {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
提供程序路径:            c:\\windows\\rsvpsp.dll
目录项 ID:             1001
版本:                2
地址族:               2
最大地址长度:            16
最小地址长度:            16
Socket 类型:            1
协议:                6
协议链长度:             1

虚拟机：
项类型:               基本服务提供程序
描述:                MSAFD Tcpip [TCP/IP]
提供程序 ID:            {E70F1AA0-AB8B-11CF-8CA3-00805F48A192}
提供程序路径:            %SystemRoot%\\system32\\mswsock.dll
目录项 ID:             1001
版本:                2
地址族:               2
最大地址长度:            16
最小地址长度:            16
Socket 类型:            1
协议:                6
协议链长度:             1

后边还有很多不一样的。很明显是中了木马了。搜到一篇文章：http://blog.xoyo.com/endurer/articles/19235.shtml
原来这叫Trojan.Win32.Agent.ut 。也不知道什么时候中的，这期间我登录了好几次网银 不知道我的帐号密码还是否安全……

清除倒很简单 把\\windows\\rsvpsp.dll, %USERPROFILE%\\Local Settings\\Temp\\run1.bat, %windir%\\system\\netshell.dll 等几个文件删了就行了