Windows 无法连接到SENS的解决方法
Window系统在使用当中总会遇到各种问题,今天给大家说明一下遇到Windows 无法连接到SENS的问题解决方法。
本图片来源于网络
以Win10为例,出现这个问题时候电脑表现为
1、右下角提示Windows 无法连接到SENS。
2、无法连接有线网络、WIFI、蓝牙键盘反应变慢。
3、打开-开始-设置-网络和Internet选项打不开,点击之后系统卡顿。
开始-设置
网络选项打不开
解决方法
重要提示以下操作可能会对电脑设置做出不可恢复更改,请在使用前做好电脑备份,如无把握请勿操作
1、在任务栏点击鼠标右键或者按CTRL+Shift+ESC调出任务管理器。
任务管理器
2、从选项卡点击“服务”-从下方选择“打开服务”-找到“System Event Notification Service”,并双击。
3、在弹出窗口将启动类型改为自动。点击确定,并重启电脑。
4、如果弹出窗口服务状态下:启动、停止、暂停、恢复四个选项均为灰色则执行第5步操作。
5、在桌面左下角Windows开始图标上点击右键,在弹出菜单选择“命令提示符(管理员)”或者“PowerShell(管理员)”,用英文输入法或者中文输入法英文模式,在弹出窗口输入netsh winsock reset catalog并点击回车键,重置winsock,然后重启电脑。
6、如果输入以上命令后提示“在nshhttp.dll中初始化函数inithelperdll启动失败,错误代码10107”则执行第7步操作。
7、在命令提示符(管理员)窗口或者PowerShell(管理员)窗口继续输入以下命令:
(1)netsh winsock reset并按回车键,修复网络配置及winsock协议。
(2)netsh int ip reset并按回车键,重置IP地址为自动获取状态。
(3)netsh winhttp reset proxy并按回车键,清除代理设置。
(4)netsh advfirewall reset并按回车键,重置防火墙设置。
(5)重启电脑。
“紫狐木马”暴力来袭,不幸被查杀
一:木马概述
360安全中心近期接到用户反馈,在下载安装并且使用了某个下载器后,电脑不定期的会被安装,甚至重复安装各种软件,在提取相关文件分析后,我们发现这是一类利用系统正常"Pending File Rename Operations"机制替换系统文件,实现开机自动启动加载驱动(自动下载软件)的恶意木马,我们将其命名为"紫狐"。据初步统计,目前至少有三万以上用户中毒。
二:木马分析
我们先看下木马整个执行流程:
开始运行下载器后会联网下载
http://216.250.99.5/m/wpltbbrp_011up.jpg
wpltbbrp_011up.jpg该文件实际上是一个MSI安装包
该MSI运行后:
木马安装包MSI包含3个文件,一个非PE文件(加密的PE文件),另外两个分别是32位和64位的木马DLL:
木马安装后会通过PendingFileRenameOperations实现开机启动,比较有意思的是,木马会进行多次删除替换,来创建多次进程链实现断链防止查杀。
替换系统文件Sense.dlll启动,我们把它叫FakeSense.dll。
FakeSense.dll启动后,DLL会创建Shellcode并执行,将自身DLL代码拷贝到临时内存,再把DLL进行free,然后把临时内存再写回进程代码中,来实现隐藏,删除木马DLL原体。
删除木马FakeSense.dll过程
先将FakeSense.dll 重命名为C:\Windows\AppPatch\Custom\S721141.tmp
然后将之前备份的C:\Windows\AppPatch\Acpsens.dll
拷贝到C:\Windows\system32\sens.dll
内存Shellcode执行:
删除木马文件过程如下:
先调用MoveFileA将C:\Windows\system32\sens.dll
文件移动到
C:\Windows\AppPatch\Custom\S721141.tmp
再调用CopyFileA将原系统文件C:\Windows\AppPatch\Acpsens.dll
放回到C:\Windows\system32\sens.dll
删除FakeSens.dll (C:\Windows\AppPatch\Custom\S721141.tmp)
然后会解密出非PE并创建服务启动
该模块会创建互斥,检测DLL是否在winlogon或者svchost进程中,如果在则解密内存DLL和驱动文件,创建Svchost进程并注入Shellcode执行,再将DLL和驱动远程写入Svchost进程中供Shellcode调用:
注入的DLL进行驱动释放,名称为dump_开头拼接随机数字,进行加载:
驱动文件:
驱动入口处注册MiniFilter和线程回调:
线程定时器回调:
MiniFilter中隐藏自身木马文件:
32位挂钩NtEnumerateKey函数隐藏自身注册表项目:
然后替换掉Ntfs.sys的 NtfsFsdCreate派遣函数:
Hook后地址为:
访问保护的文件时候会返回STATUS_ACCESS_DENIED:
抹除掉驱动信息:
线程回调中注入代码:
关机回调:
注入后svchost.exe创建的木马线程:
后联网下载安装各种软件,从用户反馈机器上看被安装了四五款各类软件:
安装命令行为 :
/c start "" "C:\Windows\TEMP\Fastpic_u44047309_sv67_52_1.exe" /at=591 /tid1=67
三:安全提醒
为了电脑和隐私的安全,尽量不要下载来历不明的软件,更不要相信木马提示退出安全防护,如果安全软件提示"发现木马风险"要立即清理,目前360安全卫士已经支持"紫狐木马"查杀,发现电脑反复自动安装软件的用户可以下载360安全卫士进行查杀。
相关问答
windows无法连接到 sens 服务连接不到网络?1、右下角提示Windows无法连接到SENS。2、无法连接有线网络、WIFI、蓝牙键盘反应变慢。3、打开-开始-设置-网络和Internet选项打不开,点击之后系统卡顿。W...
电脑系统显示“***.dii没有被指定windows上运行”怎么办?方法一:完全注册系统中的dll文件1、按Win+R打开运行,输入CMD并回车;2、复制:for%1in(%windir%\system32\*.dll)doregsvr32.exe/s...