前文(调查篇)说了安装苹果工具条及被篡改加入www.365j.com的一些地方。既然看够了就清除它,下面是清除过程:首先,卸载苹果工具条,不废话,卸载完记得去它的安装目录看看有没有残留。然后修复注册表USERINIT项(见前文第二段),保留“C:\WINDOWS\system32\userinit.exe,”(不包括引号),或者用SREng修复。
接着,删除桌面的假IE图标(方法见前文第三段末尾,如果遇到那注册表字串值与我写的不同而找不到的话,可以用关键字在注册表中搜索,比如搜索“属性”或“删除”,灵活一点就能找到),并删除快速启动栏上的IE快捷方式(方法见前文第四段)。下面是恢复原来的IE图标,原来的IE图标并非是真的被删除掉,而是隐藏了,打开“我的电脑”,点击工具栏上的”向上“按钮,到达桌面,看到IE图标了吧(如果那个假的IE图标没有删除,这时你会看到两个一模一样的IE图标),拖到桌面,再拖一次,这次是拖到快速启动栏,好了,全齐了。右击桌面IE图标,点击属性,进入internet选项,修正IE主页(当然事先记得到注册表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main上,把权限先给了,否则也是改不动的,具体见前文倒数第二段)。
先别忙着打开IE上网,还有好多没处理完呢。删除下面的文件:
c:\windows\system32\makecsb.exe
c:\windows\system32\wmsyspr9.prx
c:\Documents and Settings\Administrator(此处用户名可能不同电脑有所不同)\Application Data\Microsoft\AddIns\mpdim.dll
删除下面服务,可以直接到注册表中删除或用SREng删除,还可以用360(用360就不用这么麻烦了,后面说,省得这里说了就不往下看了):
[TCP IP Configuration / TCP IP Configuration]
<C:\WINDOWS\system32\makecsb.exe runsrv /name:"TCP IP Configuration" /prinum:"32" /cmdline:"C:\WINDOWS\system32\WMSysPr9.prx">
搜索注册表,找365j,找到这个关键字就删除网址,如HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command,它的默认值后面就带有365j的网址,把后面的网址删除,保留前面的"C:\Program Files\Internet Explorer\iexplore.exe"。为避免象前文中所描述的用h%t%t%p%:%/%/%w%w%w%.%13%16%15%j%.%c%o%m%/%?"来隐藏网址,建议搜索“Internet Explorer\iexplore.exe”这样的关键字,再一一检查,是否带有网址,虽然这样查会慢一点,但比较保险,以后对付其它篡改、劫持IE主页的问题,也可以用同样的方法搜索注册表。
苹果工具条除了捆绑365j外,还修改了IE默认搜索引擎,将其改为www.gggdu.com,因此也要一起修复,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main中的Default_Search_URL,默认值为http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch。当然也可以用工具修复,如360。
这么说吧,360已经把苹果工具条列入恶意插件,所以用360安全卫士可以修复,还有365j专杀工具(见手动删除365j.com及专杀工具)也都可以处理苹果工具条与365j.com的绑架,所以如果看上面觉得太累的话,就用它们吧,呵呵。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/463.html
