|
||||
我們在進行網上衝浪的時候會發現自己的瀏覽器主頁被更改為『hxxp://hao123.union123.***/index.htm』,更為奇怪的是,打開IE時會自動轉向快搜的主頁(『hxxp://**.kuaiso.com/』)。看來很可能是被惡意軟件劫持了域名。
再次仔細檢查我們會發現,在系統收藏夾裡被添加了『手機鈴聲下載』和『娛樂互動門戶』兩個鏈接,其地址分別是『hxxp://u.7town.***/Pub/mms/7/index.html?uid=19612』和『hxxp://***.eqibbs.com/』。
用System Repair Engineer掃描後發現了一些端倪:
[jsefusf / jsefusf][Stopped/Auto Start]
還打著微軟的旗號呀!
[PID: 700][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180
(xpsp_sp2_rtm.040803-2158)]
[C:\windows\system32\jsefusf.dll] [Microsoft Corporation, N/A]
這個惡意軟件在運行後會自動刪除其本身,並自動復制副本到%SYSTEM%目錄下,
%SYSTEM%\jsefusf.exe
同時%SYSTEM%\killme.bat這個惡意軟件的批處理文件會被復制到%SYSTEM%,並自動刪除本身,
%SYSTEM%\jsefusf.dll
而在注冊表裡,創建了服務項:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\jsefusf
系統中創建了文件:
%SYSTEM%\jsefusf.exe
在釋放%SYSTEM%\jsefusf.dll後,還會插入winlogon.exe進程。
知道了它的機理,清除方法也就大致出來了。
首先刪除注冊表裡的服務項,選擇『開始』—〉『運行』—〉『輸入』—〉『regedit』,然後依次展開:HKEY_LOCAL_MACHINE\system\currentcontrolset\services\,刪除裡面的jsefusf。在IE瀏覽器的『屬性』選項裡把主頁更改回來。
然後,重啟計算機。進入系統後找到並刪除下面兩個文件
%SYSTEM%\jsefusf.exe
%SYSTEM%\jsefusf.dll
這裡面的『%SYSTEM%』指你的系統文件夾所在目錄,也可直接搜索,找到後刪除即可。