此kuaiwan.exe并非快玩的程序,其所在文件夹可能在D盘或其它地方,该文件与所在文件夹均为隐藏属性,无法直接删除,使用强制删除手段删除该文件后还会再次生成、重复出现。
据了解,上面这种kuaiwan.exe是由“无限制搜索工具2011加强版”(p2psearcher)生成,但我不确定所有的无限制搜索工具2011加强版软件是否都带有此“木马”文件(注,它们生成的文件夹,即kuaiwan.exe所在的文件夹,名字可能不同)。此木马通过修改注册表添加启动项,如HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\下添加“Common Startup”,指向kuaiwan.exe,并篡改HOSTS文件,劫持URL,所以金山毒霸报为Troj.HiJackHost。
清理建议:彻底卸载删除无限制搜索工具2011加强版(它每运行一次就会生成一次kuaiwan.exe),强制删除kuaiwan.exe,并搜索注册表中有关kuaiwan.exe的键值,一并删除(建议操作注册表前请先做好备份,以免误删),修复HOSTS文件(一般在C:\WINDOWS\system32\drivers\etc\),保留一行“127.0.0.1 localhost”即可。如杀毒软件能认出此木马,建议全盘扫描查杀。
PS,后来在公司的某台电脑开机时跳出一个对话框,说什么什么kuaiwan.exe的,吓了我一跳,还以为这台电脑也中了这玩艺,后来才发现原来是真的装了“快玩”,为了弥补心情,虽然是个正常的软件,我把它也卸载了。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/944.html
