这几天www.369.com劫持的情况比较多，看了几个帖子，综合一下，虽然没有见到样本，但是应该不难清除

解决方法：

下载sreng
http://www.kztechs.com/sreng/sreng2.zip

解压后双击运行

找到如下项目，删除

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Windir><C:\WINDOWS\system32\Windir.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MSService_v1.0><C:\WINDOWS\system32\vfp02.exe>（vfp后面的数字似乎随机的）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Serveremail><C:\WINDOWS\system32\Serveremail.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<wServer><C:\WINDOWS\system32\wServer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LoadEWXD><C:\WINDOWS\system32\msxml4r.exe>

这几个应该是关键

可能还会有一些随之而来的垃圾（某些项目如果没有的话就跳过去）

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<RichMedia><C:\windows\system32\Rundll32.exe "C:\PROGRA~1\HBClient\hbhelper.dll",WaitWindows>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<kc32update><rundll32 C:\windows\system32\kc32update.dll,AppMain>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<winlass><C:\Program Files\Outlook Express\winlass.exe>
启动文件夹
[IE-BAR]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\IE-BAR.lnk><N>

重新启动电脑

显示隐藏文件

删除

C:\WINDOWS\system32\Windir.exe
C:\WINDOWS\system32\vfp02.exe（vfp后面的数字似乎随机的）
C:\WINDOWS\system32\Serveremail.exe
C:\WINDOWS\system32\wServer.exe
C:\WINDOWS\system32\msxml4r.exe
C:\PROGRA~1\HBClient\
C:\windows\system32\kc32update.dll
C:\Program Files\Outlook Express\winlass.exe
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\IE-BAR.lnk


老婆不理我，没事干，仓促之作，不对之处，欢迎拍砖！

【回复“飞去飞来的小鸟”的帖子】

只说不行！你倒是贴个log上来啊！

不同的劫持项目是不同的，sreng删除的是注册表内容，当然还要删除文件