一打开U盘就觉得不对劲,360包了几个启动项都禁止了,但还是中招了。
不过迹象是输入www.baidu.com打开google。
删除了wsctf.exe等几个可疑文件,修改注册表
开机就打开“我的文档”,相当于给系统加载了新的任务“C:\WINDOWS\system32\explorer.exe”按路径打开注册表的目录到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit”,如果其数据已经变为“C:\WINDOWS\system32\userinit.exe,explorer.exe”,删除explorer.exe,只留下“C:\WINDOWS\system32\userinit.exe,”重新启动即可
可能是因为以前在system32下有个伪造的explorer.exe。启动项中有这项,本来启动应该加载伪造的explorer,但是删除之后,每次启动真正的explorer了?