这个病毒的行为，之前我们应该已经遇到N次，只是我是这次才拿到样本而已

运行样本后，复制自身为C:\WINDOWS\system32\userint.exe

修改注册表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
将Userinit键值改为了C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\userint.exe
以使其开机启动

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
将Start Page键值改为http://www.haohao1.com
即改主页

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
将Default_Page_URL的键值改为http://www.haohao1.com（系统原默认值为http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome）

查杀方法：
删除C:\WINDOWS\system32\userint.exe（注意看清楚文件名）

在注册表编辑器中展开

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
将
Userinit
键值改为C:\WINDOWS\system32\userinit.exe,（注意英文逗号要留着，后面的部分删除）

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
将
Start Page
的键值改为你自己原来的主页的URL地址

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
将
Default_Page_URL
的键值改为
http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome