|
昨天晚上从某网站下载了个课件,解压缩后发现里面是个exe文件,虽然有点怀疑,还是点击运行了,发现是《金山词霸2010》的安装程序,最要命的是关闭按钮是不可用的,等打开任务管理器,程序已经安装完毕了
马上就有一种不详的预感,马上到控制面板里卸载掉金山词霸。 运行autoruns查看自启动项,没发现异常; 运行process explorer查看进程,也未发现异常; 以为仅仅强制安装、推广金山词霸而已。 随后发现异常:原先『快速启动』组里的图标少了,只剩下个“显示桌面“和”IE“的图标,移动到IE图标上面,显示该快捷方式指向goo.5l0.net ,打开浏览器后会自动转向 www.u7758.com。 随即在Google搜索,发现4、5月份就有网友报告发现中招,有多个二级域名,如so.5l0.net/go.5l0.net/go1.5l0.net,但并没有比较好的解决方案。 只好,在hosts文件中屏蔽掉5l0.net和www.u7788.com。
最新解决方案:
1、经虚拟机中试验,发现微点的“桌面流氓清除工具”可完美清除该恶意代码。可自行搜索查找。
2、安装可牛免费杀毒,其【浏览器医生】模块也可完成查杀。
3、恢复原先的快速启动组:手头的有两个该压缩文件的病毒样本,其中一个只是将原先的启动组图标移动了C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\下的另外一个随机目录名的文件夹内,可直接复制回C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch即可;
另外一个,也会有个随机文件夹,但其中的图标都被删除了,只好手动再添加相关图标了。
|
|
|
