近日见到有不少的会员,都被369.com绑架了首页,问题应该就是出自这几个文件 %SystemRoot%\system32\Serveremail.exe %SystemRoot%\system32\msxml4r.exe %SystemRoot%\system32\wServer.exe %SystemRoot%\System32\exp1orer.exe
以上病毒说明 ================== 其中Serveremail.exe 是一个Trojan Downloader木马 其下载http://www.jfg[REMOVED].net/info/softverfile.txt http://[REMOVED].1mms.net/16.exe
Serveremail.exe会读取softverfile.txt中的网址,下载另一些文件16.exe是一个NSIS Installer,入面有wServer.exe,b16.exe(msxml4r.exe),101228.exe,198897.exe(很棒小秘书)
wServer.exe会下载安装YAHOO助手
b16.exe(msxml4r.exe),StartPage Trojan,会修改你的首页
101228.exe,不明LJ软件
198897.exe,很棒小秘书的释放安装程序
解决办法: ================== 1. 1. 下载 HijackThis 1.99.1(建议到大型下载站下载,如华军),存到桌面后再解压
2. 运行 hijackthis.exe ,按 Do a system scan and save a logfile
3. 在O4项,找出并选取含有Serveremail.exe,msxml4r.exe,wServer.exe,LoadEWXD,MSService_v1.0的项目,按 Fix checked修复 例子: O4 - HKLM\..\Run: [LoadEWXD] C:\Windows\system32\msxml4r.exe O4 - HKLM\..\Run: [LoadEWXD] C:\WINDOWS\System32\exp1orer.exe
4. 根据在HijackThis看到的文件位置,删除相关文件 例子: C:\Windows\system32\msxml4r.exe
5. 下载超级兔子建议到大型下载站下载,如华军)
6. 重新启动电脑,按F8进入安全模式,使用超级兔子,扫描 + 清除被装上的LJ软件
7. 再次重新启动电脑,回到正常模式,修改你的首页,看看你的首页会不会再被改了~
|