有网友的电脑中的IE首页被强制设置为 hxxp://www.haohao1.com。
使用HijackThis(可以到 http://endurer.ys168.com 下载)扫描log,发现一个可疑项:
/------------ F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/system32/userint.exe ------------/
用 WinRAR 找到 C:/WINDOWS/system32/userint.exe,打包备份后删除。
又发现 C:/Documents and Settings/user/Local Settings/Temp/haotian.bat 是 一个EXE文件,经比较,与 C:/WINDOWS/system32/userint.exe 相同,也删除了。
打包备份后删除。
关闭所有文件和文件夹,用HijackThis扫描并修复上面所列 F2 项。
清空IE临时文件夹
Kaspersky 将 userint.exe 报为 Trojan.Win32.StartPage.ahi。
