今天收到两个病毒样本。一个是开机或者打开浏览器就自动弹出彩票网页的样本,另一个是打开百度等链接就自动弹出美女视频链接的病毒。
前者与以往修改Internet Explorer注册表项目、写入BHO、加载服务或驱动等的病毒惯用手法有所不同。
即使用户使用一些工具重置Internet Explorer注册表项目也没有用,而BHO和服务以及驱动等也没有任何可疑痕迹。那么究竟是谁修改了主页,并且开机便打开了呢?
经过金山清理专家的联网诊断得知userinit键值有异常,病毒文件为c:\windows\system32\userint.exe(注意:与系统文件userint.exe相差一个字母“i”,图标为文本图标从而很具迷惑性)。
首页彩票网截图如下:
清理专家报告反映如下:
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
[Userinit] <C:\Windows\system32\userinit.exe C:\WINDOWS\system32\userint.exe>
清理方法:
运行金山清理专家的在线全面诊断,诊断后注意隐藏已知的安全项目。如图所示: 
将『启动项管理』中『登录加载项』里面的userinit首先定位文件将病毒文件删除。如图所示:
再次回到『启动项管理』中『修复该项』即可。如图所示: 
解压附件后运行其中的fix_彩票.reg,最后将internet选项设置进行调整即可。如图所示: 
fix_彩票.rar (318 Bytes)
美女视频大多数仅在部分网站,或者一些网站服务器与遭受恶意挂马、会话劫持等。病毒行为主要通过修改hosts文件,把百度等域名劫持到相关链接。劫持百度的截图如下: 
修复方法:
将C:\windows\system32\dirvers\etc文件夹下的hosts文件使用记事本打开后,只保留一行内容:127.0.0.1 localhost 编辑保存后即可。
清理专家杀毒辅助相关使用教程以及hosts文件修复工具请见:
http://www.newjian.net/Anti-virus/anti_virus_1800.html
您的位置: