首先声明,这个xlnet.dll不一定是病毒。这个下载的文件也不一定是什么恶意的东西,但是他每次上网都在后台下载几次,非常的不顺服!所以要彻底解决 因为是最后才知道是这个文件xlnet.dll造成的,开始以为被劫持了) 其次非常的鄙视联通!!!!!!--------------------------- 下面是正文 前些天发现计算机被偷返利,一直找联通(不过这确实是联通的问题), 今天使用了HTTPAnalyzer 查看了一下,发现IE启动后访问第一个网站(不论什么网站)就会下载一个文件spscsh.dat 链接的地址是http:// updateshop. 52guagua. com/spscsh.dat (中间加了空格以免误点击)见下图 不论是重置IE(重启)都不能解决这个问题,然后用各种工具查IE的加载项,都没有问题
最后发现winosock2下有一个可以的协议xlnet.dll 
看黄色部分(因为我手动删除才出现的) 对比虚拟机中的没有这个文件,就死马当活马医,重命名了这个文件,重启计算机后,发现不能上网,不得不还原。 然后在网上查找,发现是直接命令行下(可能需要管理员权限,我的是win7 C:netsh winsock reset 重启后,一切ok最后发现这是北京创新远大科技有限公司的东东,与联通与合作(沃宽)。估计以前联通的宽带提速的软件造成!这是xlnet的附件: 
xlnet.zip (123.92 KB, 下载次数: 17) (这个文件其实也没多大的用处,不过就是为了说明问题,传上来的)今天差不多耽搁快2个小时弄这个东西(包含写这个帖子),开始主要是思路错了,因为看到板上的说用wmitool等工具然后检查加载项等。最后才winsock这个就是3楼说的LSP劫持转载一篇文章(这是事后看到的文章)http://fdingy.blog.163.com/blog/static/3160814920091011230117/关于Winsock LSP“浏览器劫持”,中招者一直高居不下,由于其特殊性,直接删除而不恢复LSP的正常状态很可能会导致无法上网所以对其修复需慎重. 先说说什么是Winsock LSP“浏览器劫持”.Winsock LSP全称Windows Socket Layered Service Provider(分层服务提供商),它是Windows底层网络Socker通信需要经过的大门。一些流氓软件可以把自已加进去,就可以截取、访问、修改网络的数据包,可以随意添加广告,还能获取你的浏览习惯. 这里加进的是木马,后果可想而知。而且因为LSP工作在底层,所以无论你用什么浏览器,都逃不了经过它。而LSP中的dll文件被删除后,就会出现无法上网的情况。 LSP服务在注册表中的位置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWinSockParametersNameSpace_Catalog5Catalog_Entries,默认系统已有LSP,分别负责TCP/IP组件(mswsock.dll)和NTDS组件(winrnr.dll)的正常工作,它们的项分别为000000000001 和 000000000002,这两个项表示优先权,如果恶意程序想要劫持,只要将自身的项改为000000000001,将系统项依次推后即可,这样就可以优先处理恶意程序了。 解决办法: 方法1.用360的LSP修复功能来修复。如果提示你的“LSP没有异常,不用修复”,但是你还是上不了网,执行ping命令,在ip地址处会出现(?),无法ping通外网。那么你就用360的“恢复Winsock LSP到初始状态”的功能。 方法2.就是大家熟悉的,也就是常用的方法,用LSPFix这个工具在断开网络下修复 方法3.Windows XP Service Pack 2 (Win7)中有两个新增的 Netsh 命令。 " netsh winsock reset catalog 该命令将 Winsock 目录重置为默认配置。如果安装了可导致网络连接丢失的不正确的 LSP,该命令会很有用。尽管使用该命令可以还原网络连接,但应该慎重使用,因为以前安装的 LSP 都将需要重新安装。 " netsh winsock show catalog 该命令会显示安装在计算机上的 Winsock LSP 列表。 所以呢,我们在没有任何辅助工具的情况下可以用netsh winsock reset命令来重置Winsock
