近日见到有不少的会员,都被369.com绑架了首页,问题应该就是出自这几个文件
%SystemRoot%\system32\Serveremail.exe
%SystemRoot%\system32\msxml4r.exe
%SystemRoot%\system32\wServer.exe
%SystemRoot%\System32\exp1orer.exe

以上病毒说明
==================
其中Serveremail.exe 是一个Trojan Downloader木马
其下载http://www.jfg[REMOVED].net/info/softverfile.txt
http://[REMOVED].1mms.net/16.exe


Serveremail.exe会读取softverfile.txt中的网址,下载另一些文件16.exe是一个NSIS Installer,入面有wServer.exe,b16.exe(msxml4r.exe),101228.exe,198897.exe(很棒小秘书)


wServer.exe会下载安装YAHOO助手

b16.exe(msxml4r.exe),StartPage Trojan,会修改你的首页

101228.exe,不明LJ软件

198897.exe,很棒小秘书的释放安装程序

解决办法：
==================
1. 1. 下载 HijackThis 1.99.1（建议到大型下载站下载，如华军),存到桌面后再解压

2. 运行 hijackthis.exe ,按 Do a system scan and save a logfile

3. 在O4项,找出并选取含有Serveremail.exe,msxml4r.exe,wServer.exe,LoadEWXD,MSService_v1.0的项目,按 Fix checked修复
例子:
O4 - HKLM\..\Run: [LoadEWXD] C:\Windows\system32\msxml4r.exe
O4 - HKLM\..\Run: [LoadEWXD] C:\WINDOWS\System32\exp1orer.exe

4. 根据在HijackThis看到的文件位置,删除相关文件
例子:
C:\Windows\system32\msxml4r.exe

5. 下载超级兔子建议到大型下载站下载，如华军)


6. 重新启动电脑,按F8进入安全模式,使用超级兔子,扫描 + 清除被装上的LJ软件

7. 再次重新启动电脑,回到正常模式,修改你的首页,看看你的首页会不会再被改了~