今天,杀毒软件提示进程(explorer.exe)修改IE默认主页为http://06000.cn/alei.htm(或http://www.2345.com/?294),这应该是恶意DLL文件注入到explorer.exe进程中了。通过SREng发现进程(explorer.exe)的muerqs.dll模块比较可疑,到网上一搜,没有相关信息,查看muerqs.dll的源文件名是MSHTMLDE.DLL,再到网上一搜,相关信息就多了,可以肯定是因为装了“XP星号密码查看器 9.17”才被恶意安装这个插件的。再把muerqs.dll上传到http://virscan.org网站扫描下病毒,杀毒软件a-squared检测出病毒“Virus.Win32.VB.QK!IK”(点击查看详细报告),这下子几乎肯定muerqs.dll就是MSHTMLDE.DLL新版了。
清除恶意插件muerqs.dll的步骤:
(1)开始-运行:cmd,进入命令提示行。
(2)执行:taskkill /f /im explorer.exe,终止进程explorer.exe。
(3)执行:regsvr32 /u c:\windows\system32\muerqs.dll,卸载muerqs.dll。
(4)执行:del c:\windows\system32\muerqs.dll,删除muerqs.dll。
(5)执行:explorer,运行explorer.exe。
“XP星号密码查看器 9.17”,我是从天空软件站下载的,天空软件站还提示是“无插件绿色软件”,没想到这个软件不但自动安装百度工具栏,而且还偷偷安装这个不定时更改IE默认主页的恶意插件(病毒?木马?),对天空软件站非常失望。建议大家到提供绿色软件的网站,下载星号密码查看的软件。
从网上的资料看,这个恶意插件以前版本的文件可能是:mshtmleh.dll,mshtmlte.dll,mgmxts.dll,mshtmlde.dll,而mshtmled.dll和mshtmler.dll则为微软的文件。也可能会把IE的默认主页修改为:http://00333.cn/alei.htm。