劫持、篡改IE主页早已经从直接修改主页设置转到其它的战场,如修改IE快捷方式的属性,而现在则发展成为篡改不限于浏览器的所有桌面快捷方式,目的只有一个,就是当用户双击桌面的任何快捷方式图标时,都能运行恶意程序篡改IE主页,或劫持IE访问恶意网站或推广网站。即使被绑定的网站是无害的,但这种恶意推广、强制访问的方式也是令人厌恶。
如果桌面的快捷方式图标被这样恶意修改过,就会发生双击快捷方式图标而不能打开对应的应用程序的现象,即使杀毒软件已经删除该病毒文件(一般是.vbs或.js脚本文件),快捷方式也不会自动修复,则可能发生双击快捷方式后出现打开方式的窗口(这种情况也可能是js或vbs文件的关联正好也发生错误而导致的)或提示找不到某某文件。因此这里介绍的是修复快捷方式的方法。
修复方法针对不同情况,一种是直接修改快捷方式的属性,这种的修复很简单,直接删除原快捷方式、重新创建即可,创建方法应该不用多说了吧,找到原程序,右击-发送到桌面,或者直接重装原软件(如果不懂什么是原程序、而且重新安装不麻烦的话)。另一种情况是篡改了快捷方式的注册表项,导致打开所有的快捷方式都会去运行病毒文件,修复方法就是把如下内容复制到一个文本文件中,再另存为.reg文件,双击导入注册表,或者照下面的内容自行修复注册表(建议修改前备份原注册表,以免误操作):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.lnk]
@="lnkfile"[HKEY_CLASSES_ROOT\.lnk\ShellEx]
[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]
@="{00021401-0000-0000-C000-000000000046}"[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]
@="{00021401-0000-0000-C000-000000000046}"[HKEY_CLASSES_ROOT\.lnk\ShellNew]
"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"[HKEY_CLASSES_ROOT\lnkfile]
@="快捷方式"
"EditFlags"=dword:00000001
"IsShortcut"=""
"NeverShowExt"=""[HKEY_CLASSES_ROOT\lnkfile\CLSID]
@="{00021401-0000-0000-C000-000000000046}"[HKEY_CLASSES_ROOT\lnkfile\shellex]
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]
[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files]
@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]
[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]
@="{00021401-0000-0000-C000-000000000046}"[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]
@="{00021401-0000-0000-C000-000000000046}"[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
病毒篡改注册表,往往是增加以下项HKEY_CLASSES_ROOT\lnkfile\shell\open\command,然后在其值中添加自己的程序来达到目的,所以只要修复了快捷方式文件的关联就可以解决整个问题。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/664.html
