最近有很多網(wǎng)友會遇到桌面莫名其妙“被淘寶快捷方式”了，或是打開明明未設置任何主頁的瀏覽器還是會“被訪問”某些地址等異常現(xiàn)象，這些快捷方式還跟魔鬼似的怎么也刪除不了，就算用戶手動將瀏覽器主頁進行設置也沒有用，還是“被訪問網(wǎng)址導航”的現(xiàn)象。

瑞星專家以一起典型的案例給大家略作膚淺分析，將處理經(jīng)驗與大家共享，對大家的實際問題處理做個“模范帶頭”作用。

病毒現(xiàn)象

a) 桌面有多個“頑固”快捷方式，如“免費電影”、“淘寶購物”、“美女圖片”等，其中部分為仿冒的“假IE瀏覽器圖標－Inteenet Explooer” ，以上“頑固圖標”無法手動刪除，刪除時提示文件正被另一個用戶或程序使用。

b) IE瀏覽器主頁每次都被修改為http://www.bubu888.com/ie122-JB，即使將IE主頁已經(jīng)設置為空白，也仍舊會在打開IE后“被訪問”這個名為“我的網(wǎng)址導航”的導航站點。

c) 系統(tǒng)中出現(xiàn)與系統(tǒng)進程“explorer.exe”和“smss.exe”同名的異常進程。

 
圖1

圖2

 
圖3

分析與思考

用戶在嘗試刪除這些異常的快捷方式時，彈出的提示信息是windows默認的提示。這個提示并不陌生，顯然，這些快捷方式在刪除時確實是被其它程序正在使用，這很可能是病毒惡意進行保護的手法，針對此類情況可嘗試從異常的進程或異常的動態(tài)鏈接庫下手，進行異常項目檢查較為合理。

雖然已經(jīng)明確將IE設置了使用“空白頁”，但是頁面還是默認訪問了某個地址，并且這個操作似乎是在調(diào)用IE本身的某些功能，強制IE訪問了某些地址。這個應該嘗試從IE的注冊表加載項入手來梳理才好。

檢測和手動處理方法

檢測工具：wsyscheck

1、刪除異常進程

經(jīng)使用wsyscheck 發(fā)現(xiàn)，異常進程“explorer.exe”和“smss.exe”所在目錄與正常的“explorer.exe”和“smss.exe”系統(tǒng)進程所在的目錄不同。

使用wsyscheck 選擇異常進程后，右鍵點擊菜單中的“結束進程并刪除文件”。

圖4

2、刪除異常的注冊表加載

使用wsyscheck ，切換到“安全檢查”－“IE安全”項目下，可發(fā)現(xiàn)三項異常的注冊表加載信息，右鍵點擊菜單中的“修復所選項”，來清除異常的IE瀏覽器加載項目。

圖5

3、刪除異常的“開始菜單”－“啟動”項目

使用wsyscheck ，切換到“安全檢查”－“活動文件”項目下，可發(fā)現(xiàn)在系統(tǒng)的“All User\[開始]菜單\程序\啟動”目錄下有異常的快捷方式。右鍵點擊菜單中的“修復所選項”，來清除異常的快捷方式啟動加載項目。

圖6

總結

完成以上操作后，再次嘗試手動刪除桌面那幾個惱人的快捷方式就會發(fā)現(xiàn)，這些惱人的快捷方式終于可以成功刪除了！再打開IE瀏覽器看看，現(xiàn)在也不“被訪問”那個“網(wǎng)址導航站了”，默認就老老實實的停留在筆者設置的“空白頁”上。

至此，針對用戶遇到的這個“桌面惡意快捷方式”算是處理干凈了，無非也就是從注冊表的瀏覽器默認加載項目，異常文件和異常的啟動項目入手，層層入手抽絲剝繭似的處理罷了。