今天好郁闷啊，午饭回来上网，看了看自己的博客，顺便也浏览了许多好朋友的博客。当时感觉访问有的博客速度好慢。

 

　　晚上回来看机一看，乖乖的，刚打开Maxthon，就不停地打开窗口。我一看不对，强行关掉Maxthon。打开IE，主页也被强行设置为"www.7379.com"，手动如何改都改不掉。另外打开注册表中，看到启动项中有个"system32\realplayer.exe"，同样也是怎么删都删不掉。（后用金山毒霸查出并清除，病毒名为Win32.Troj.Masaji.ad.45056）。

 

　　与此同时，金山网镖报“**搜霸****”和"c:\boot.exe"访问某地址80端口，都被我禁止了，并手动删除了"c:\boot.exe"。

 

　　打开任务管理器，看到两个8888.exe进程，遂杀掉。（后查知，该病毒为Trojan.Qq.SuperWay.d。这个木马偷窃qq密码，其行为是拷贝自己到windows目录，命名为8888.EXE，登记为自启动；终止反病毒程序。）

 

　　只好重新启动，进入安全模式杀毒，共查出"Win32.Troj.Masaji.ad.45056"和"Win32.Hack.HupooShell.bv.29184"。

 

　　杀毒完成，并删除了临时目录中文件，重新启动后仍有"C:\Program Files\INTERNET Explorer\IEXPLORE.EXE"不停访问"58.215.74.206:80"。

 

　　经上网查询得知，原因可以确定为某些博客首页的脚本或ActiveX控件有病毒或木马。提请大家慎用某些代码，因为这些代码通常连接到不明站点，而这些站点的安全性无法保证。

附1：杀毒后搜索到病发当时修改的文件
RUNDLL32.EXE-3DD9E96A.pf(c:\windows\prefech)
WMSDKNS.XML
theopen.exe(C:\Documents and Settings\Administrator\Local Settings\Temp)
hosts(c:\windows\sysem32\drivers\etc)
THEOPEN.EXE-3A4AE8AB.pf(c:\windows\prefech)
CONIME.EXE-13EEEA1A.pf(c:\windows\prefech)
RUNDLL32.EXE-3E4647A0.pf(c:\windows\prefech)
counter.exe(C:\Documents and Settings\Administrator\Local Settings\Temp)
killme.bat(C:\Documents and Settings\Administrator\Local Settings\Temp)
COUNTER.EXE-3E4647A0.pf(c:\windows\prefech)
BOOT.EXE-12D8A6B4.pf(c:\windows\prefech)
AN85.COM-13061061.pf(c:\windows\prefech)
CMD.EXE-087B4001.pf(c:\windows\prefech)
gnimatmd.bat(c:\windows)
REALPLAYER.EXE-1DE14546.pf(c:\windows\prefech)
KAVIEREG.EXE-18A97777.pf(c:\windows\prefech)
RavMon.dll(c:\windows\system32)

附2：病发当时自动访问的站点
"cg.9e3.com"
"www.1717kan.cn"
"w5.valueclick.com.cn"
"59.34.197.239"
"www.7939.com"

 

附3：我搞掂病毒了，请看我的另一篇博文

《终于靠自己和网络的力量，战胜病毒了！原来我的IE也被劫持了？！》