一、提問：
IE有被劫持，Userinit.exe被改了(日志略)

二、分析

1. 殺毒前關(guān)閉系統(tǒng)還原(Win2000系統(tǒng)可以忽略）：右鍵 我的電腦 ，屬性，系統(tǒng)還原，在所有驅(qū)動器上關(guān)閉系統(tǒng)還原 打勾即可。  
清除IE的臨時文件：打開IE 點工具-->Internet選項 : Internet臨時文件，點“刪除文件”按鈕 ，將 刪除所有脫機內(nèi)容 打勾，點確定刪除。

關(guān)閉QQ等應(yīng)用程序。進行如下操作前，請不要進行任何雙擊打開磁盤的操作。所有下載的工具都直接放桌面上。

2.用強制刪除工具XDelBox(文件刪除終結(jié)者)刪除下面列出的文件。

【刪除時復(fù)制所有要刪除文件的路徑，在待刪除文件列表里點擊右鍵選擇從剪貼板導(dǎo)入。導(dǎo)入后在要刪除文件上點擊右鍵，選擇立刻重啟刪除，電腦會重啟進入DOS界面進行刪除操作，刪除完成后會自動重啟進入你安裝的操作系統(tǒng)。操作前注意保存電腦中正在打開的文檔。有關(guān)XDelBox的詳細說明請看xdelbox1.2目錄下help.chm。】

【有找不到提示的，請一個文件一個文件的輸入“文件路徑”中，不存在的忽略即可】
C:\WINDOWS\system32\winsys16_070307.dll
g:\program files\tencent\qq\hgtghrgp.dll
c:\program files\internet explorer\xsgcilqf.dll
C:\WINDOWS\WindowsUpdate.exe


3. 重啟計算機后，用工具 SRENG 進行如下的操作

【打開SRENG后提醒“函數(shù)的內(nèi)容與預(yù)期值不符他們可能被一些惡意的軟件所修改”的錯誤請忽略，裝殺軟后的正常修改?！?
另外：請?zhí)貏e注意上文鏈接中所說的某些項目是編輯,不能刪除。
==================================
(1) 啟動項目 -->注冊表 的如下項編輯 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
       <Userinit><C:\WINDOWS\System32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_070307.dll start>     [N/A]
為 初始指 <Userinit><C:\WINDOWS\System32\userinit.exe,>注意逗號不可省略
(2) 啟動項目 -->注冊表 的如下項刪除

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
       <{4DEC9B29-F08F-4cbc-B179-592B9283FAB1}><g:\program files\tencent\qq\hgtghrgp.dll>     [N/A]
       <{05397E9D-30D1-4216-AACB-F9EA1F1E4E85}><c:\program files\internet explorer\xsgcilqf.dll>     [N/A]

==================================
啟動項目 -->服務(wù)-->Win32服務(wù)應(yīng)用程序    的如下項刪除
[WindowsUpdate / WindowsUpdate][Stopped/Auto Start]
     <C:\WINDOWS\WindowsUpdate.exe><N/A>

QQ最好卸載后重裝一下。注意修改QQ密碼等。

最新評論