扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
我们在进行网上冲浪的时候会发现自己的浏览器主页被更改为“hxxp://hao123.union123.***/index.htm”,更为奇怪的是,打开IE时会自动转向快搜的主页(“hxxp://**.kuaiso.com/”)。看来很可能是被恶意软件劫持了域名。
再次仔细检查我们会发现,在系统收藏夹里被添加了“手机铃声下载”和“娱乐互动门户”两个链接,其地址分别是“hxxp://u.7town.***/Pub/mms/7/index.html?uid=19612”和“hxxp://***.eqibbs.com/”。
用System Repair Engineer扫描后发现了一些端倪:
[jsefusf / jsefusf][Stopped/Auto Start]
还打着微软的旗号呀!
[PID: 700][\??\C:\WINDOWS\system32\winlogon.exe] [MicrosoftCorporation, 5.1.2600.2180
(xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\jsefusf.dll] [Microsoft Corporation, N/A]
这个恶意软件在运行后会自动删除其本身,并自动复制副本到%SYSTEM%目录下,
%SYSTEM%\jsefusf.exe
同时%SYSTEM%\killme.bat这个恶意软件的批处理文件会被复制到%SYSTEM%,并自动删除本身,
%SYSTEM%\jsefusf.dll
而在注册表里,创建了服务项:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\jsefusf
系统中创建了文件:
%SYSTEM%\jsefusf.exe
在释放%SYSTEM%\jsefusf.dll后,还会插入winlogon.exe进程。
知道了它的机理,清除方法也就大致出来了。
首先删除注册表里的服务项,选择“开始”—〉“运行”—〉“输入”—〉“regedit”,然后依次展开:HKEY_LOCAL_MACHINE\system\currentcontrolset\services\,删除里面的jsefusf。在IE浏览器的“属性”选项里把主页更改回来。
然后,重启计算机。进入系统后找到并删除下面两个文件
%SYSTEM%\jsefusf.exe
%SYSTEM%\jsefusf.dll
这里面的“%SYSTEM%”指你的系统文件夹所在目录,也可直接搜索,找到后删除即可。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。