今天发现IE浏览器总是被修改成：http://www.139999xxxx.com，然后重定向到一个随机的网页，模仿hao123的一个网页导航网站。通过各种杀毒软件，都没报告有病毒。

使用ProcessExplore查看系统进程，会发现IE进程成为了rundll32.exe的子进程，自然觉得蹊跷，查看进程属性发现：

"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\winhuanbang\altersvr.dll" Scanprocess

显然，木马通过rundll32.exe启动自身，然后劫持IE，只要启动IE，就修改其首页。木马文件在C:\WINDOWS\winhuanbang\目录，中止上述木马进程，删除木马文件，然后使用其他工具删除此无效的自启动项即可。

set ws = WScript.CreateObject("WScript.Shell")

ws.Run "rundll32.exe /c shellpro.dll shellsethome", 0

本文转自海天一鸥博客园博客，原文链接：http://www.cnblogs.com/sgsoft/archive/2010/10/07/1845207.html，如需转载请自行联系原作者