今天在网上下载了一个工具,感觉文件大小不太对劲,杀软没有检测出病毒,运行后还是中招了:浏览器主页被篡改为
http://www.yjdaohang.net/hao123-7.html?100?rj0068
检查插件,没有异常;
检查浏览器快捷方式,没有异常;
检查系统服务,没有异常;
检查系统进程,发现有一个以当前登录用户运行的svchost.exe,此文件的路径为C:\Windows\Install\svchost.exe,将此进程结束。正常状态下的svchost.exe应该是位于system32目录,删除C:\Windows\Install\svchost.exe后,浏览器恢复正常。