一、提问:
IE有被劫持,Userinit.exe被改了(日志略)
二、分析
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
2.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。
【删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm。】
【有找不到提示的,请一个文件一个文件的输入“文件路径”中,不存在的忽略即可】
C:\WINDOWS\system32\winsys16_070307.dll
g:\program files\tencent\qq\hgtghrgp.dll
c:\program files\internet explorer\xsgcilqf.dll
C:\WINDOWS\WindowsUpdate.exe
3. 重启计算机后,用工具 SRENG 进行如下的操作
【打开SRENG后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】
另外:请特别注意上文链接中所说的某些项目是编辑,不能删除。
==================================
(1) 启动项目 -->注册表 的如下项编辑 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\System32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_070307.dll start> [N/A]
为 初始指 <Userinit><C:\WINDOWS\System32\userinit.exe,>注意逗号不可省略
(2) 启动项目 -->注册表 的如下项删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{4DEC9B29-F08F-4cbc-B179-592B9283FAB1}><g:\program files\tencent\qq\hgtghrgp.dll> [N/A]
<{05397E9D-30D1-4216-AACB-F9EA1F1E4E85}><c:\program files\internet explorer\xsgcilqf.dll> [N/A]
==================================
启动项目 -->服务-->Win32服务应用程序 的如下项删除
[WindowsUpdate / WindowsUpdate][Stopped/Auto Start]
<C:\WINDOWS\WindowsUpdate.exe><N/A>
QQ最好卸载后重装一下。注意修改QQ密码等。