[求助]：JS.Seeker病毒

lml

一个邮件传播的病毒，怎么杀呀？

nxw

JS.Seeker是一种特洛伊木马程序，它会改变默认的启始命令和你浏览器的搜索页面。有时，这种特洛伊木马以名为runme.hta文件形式发送到你的计算机上，但是只有在Windows安装了脚本程序时才会执行。

当JS.Seeker执行时，它会对Windows注册表作出若干改动：
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Netscape\Netscape Navigator\Main\Home Page

原始的注册值被保存在Windows目录下的Backup1.reg和backup2.reg中。

这个特洛伊木马会在Windows目录下产生一个名为homereg111.reg的文件，并将上面提到的注册码改成它自己的值。然后，它会执行Removeit.hta，这个动作将把文件runme.hta从C:\Windows\Start Menu\Programs\Startup文件夹中删除。

这个特洛伊木马还会在Windows目录下生成名为Prefs.js的文件。这个Prefs.js是一个Java脚本文件，可以将Netscape的首选项改成它自己的设置。

如果希望清除JS.Seeker，请使用Norton AnitVirus扫描磁盘，并删除所有被检测为JS.Seeker的文件。然后从Windows目录下面删除Homereg111.reg和Prefs.js文件，再从Windows目录下执行Backup1.reg和Backup2.reg。