同事说她的电脑打不开网页了,但是QQ能上。到电脑上一检查,就觉得桌面的IE图标很可疑,当时一共有两个,都是正常时的IE图标的样子,不带快捷方式的小箭头,但是右击它们出现的菜单显示两个图标都不是原来的IE图标,一个在曾经苹果工具条系列的一文中有出现过,假冒正常的IE图标,上面的“删除”命令实际根本不具有删除作用,此图标携带一个网址:www.4j4j.cn/?xx(xx是一个数字,估计是用来标记推广者的);另一个图标纯粹就是IE的快捷方式,只是没有通常的小箭头,右击菜单就是快捷方式的样式,在快捷方式的属性中加入了另一个网址:www.vv33.com/?xx(这个xx与上面的数字是一样的,可能是同一人或组织所为)。同时这个vv33.com还加入到电脑上(包括开始菜单)所有的IE快捷方式属性中,甚至还加入到GreenBrower的快捷方式属性中(连非IE的浏览器也不放过,即使GB也是IE核心),凡加入vv33.com的快捷方式都修改自身属性为只读以防止用户轻意修复与删除自己。
另外的发现是桌面美化秀,这个流氓又来了(关于桌面美化秀可参考清除sddinstu.exe、codrmk.drv) ,
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<桌面美化秀><C:\Program Files\procedure\mactool.exe> [快快捷桌面秀]
再查一下,果然有其服务存在:
[Error COM+ Service / Error COM+ Service]
<C:\WINDOWS\system32\mqtdscr.exe runsrv /name:"Error COM+ Service" /prinum:"32" /cmdline:"C:\WINDOWS\system32\bootstatp.dat">
知道了这些就好做了,下面开始清理修复工作。
首先使用windows清理助手清理扫除,并卸载桌面美化秀,连重启也不用就清除了(此次清理还删除了加载在注册表中的恶意网址,具体位置可参见如何修复被劫持、篡改的IE主页,自己去注册表中改也行,只是比较麻烦,还是用工具快),然后就是顺手删除临时文件夹temp,最后修复所有快捷方式,并删除桌面的IE图标,注意前面一个仿真度高的IE图标,要修复需要进到注册表中修改,类似以前苹果工具条那样做,不过现在我们有现成的工具:剑盟IE主页通用修复工具FIXIE,很轻松就搞定了(注意操作完要刷新一下桌面,那个图标才会消失)。如果要想让桌面上恢复原先的IE图标(不是快捷方式那种),也很简单,打开我的电脑,点击向上按钮,就来到桌面的文件夹,看到那个IE图标(如果之前未删除那两个仿真图标,在这就会看到三个一模一样的IE图标),把它拖到桌面,OK,恢复正常。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/546.html