第一反应就是被劫持了，按照以往经验使用三六零等进行杀毒、主页修复什么的，并没有什么卵用，折腾半天宣告失败。

经过仔细查看默认浏览器ie打开URL时没有跳转出现，但是其他浏览器例如chrome就会出现跳转至ie打开ie9898，笔者就想通过设置默认程序，将chrome设置成默认后，无论双击打开还是通过URL桌面快捷方式打开都是在默认浏览器上打开ie9898，确认该方式并不可行。

找注册表,搜索ie9898，并没有相关的注册变信息服务项,启动项等常规检查未发现任何可疑

接下来进任务管理器,未发现不明进程(现在不排除被注入进程的可能)...

查看关联的句柄，模块并没有发现异常，不排除肉眼没有发现

我重新安装了一个chrome浏览器，情况依旧一样，不过我在这里找到了一点点灵感。重新安装浏览器后生成了一个chrome-old的执行文件，在点击chrome.exe依旧被劫持的情况下，有些气恼点了一下chrome-old，竟然奇迹般的打开了，然后我将新文件改名为1，打开；改名为browser ，打不开；然后经过实验主流浏览器的执行文件名字可能都被劫持了。基本为同事恢复成可用状态，但那个病毒依旧存在电脑里，下一步就是找到它。

通过网上搜索终于在卡饭论坛找到了这个病毒的相关踪迹，并把它删除了。“C:\WINDOWSystem32”目录下创建一个名为“MsslnthalEs.dll”的病毒动态链接库，并在注册表中为其创建随机启动的隐藏服务项。然后会在“C:\WINDOWS\AppPatch”目录下创建一个以“Ke”开头后序文件名为6位随机数字组成的“.xsl”文件，并在注册表中为其设置数值数据。最后会在“C:\WINDOWSystem32\drivers”目录下创建一个名为“dump_slnthal.sys”的驱动程序，并在注册表中为其创建随机启动的隐藏服务项。

清理方式，重启电脑按“F8”键进入“安全模式”。删除如下病毒程序。C:\WINDOWS\AppPatch\CustomC:\WINDOWS\AppPatch\AcRamIe.sdbC:\WINDOWS\AppPatch\Ke******.xslC:\WINDOWSystem32\MsslnthalEs.dllC:\WINDOWSystem32\drivers\dump_slnthal.sys

删除如下病毒注册表项值。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\SecureHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSLNTHALESHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsslnthalEsHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSSLNTHALESHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsslnthalEsHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSLNTHALESHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsslnthalEsHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DUMP_SLNTHALHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dump_slnthalHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DUMP_SLNTHALHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dump_slnthalHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DUMP_SLNTHALHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dump_slnthal