一天,同事打来电话,说其电脑主页被恶意网站修改了,想改回原来的主页,但怎么也改不了,让我去看看。
打开IE浏览器,窗口里出现网址为“http://www.4755.net”,随即又弹出几个窗口,将窗口一一关闭后,屏幕上还留有一矩形空白区域无法消除,按下[Ctrl+Alt+Del]键,在关闭程序程序窗口里看到一个陌生的名字“C:\win.hta”,单击[结束任务]按钮,空白区域消失。在C盘下可以找到名为“win.hta”的文件,将其删除。但在“Internet属性”对话框,修改主页地址无效。
是不是注册表被修改了?带着疑问打开了注册表,在“编辑”菜单下选择“查找”命令,在“查找”对话框输入“http://www.4755.net”(不含引号)进行查找,共有两处,将其一一改为另一网址。重新启动IE浏览器,情况依旧,看来也不是注册表的问题。
是不是有病毒程序在作怪啊?想到这里,打开了“系统配置实用程序”,在“启动”选项里没发现什么奇怪的程序。又打开C:\Windows文件夹下的Win.ini和C:\Windows\System文件夹下的System.ini,也没有发现什么特殊情况。
想来想去,还得从“http://www.4755.net”这个网址入手。
先打开“文件夹选项”对话框,选择[查看] →[高级设置] →[文件和文件夹] →[隐藏文件]项,设置为“显示所有文件”。
然后从[开始] →[搜索]→[文件和文件],打开“搜索结果”对话框,在“包含文字”栏里输入“http://www.4755.net”(不含引号),在“搜索范围”列表里选择“本地磁盘(C:)”(C盘为系统盘),共搜索到三个文件:qq32.ini、sendmess.exe和qqs.exe,删除之。在删除sendmess.exe时提示程序正在运行。
同事的电脑安装的是Windows Me操作系统,不能进入真正的MS-DOS状态,只能借助“优化大师”了,利用“优化大师”的“进程管理”禁止sendmess.exe的运行,将其删除。再次打开“Internet属性”对话框,将主页地址修改后关闭对话框,启动IE浏览器,地址栏里不再出现“http://www.4755.net”,一切OK。
通过上网查询,了解到qq32.ini和sendmess.exe是木马病毒“狩猎者”及其变种的两个主要文件,另外还有一个qqmess.dll也是这个病毒中的一个文件,随后在C:\Windows\System文件夹下找到qqmess.dll将其删除。
至此,“狩猎者”被完全杀死。