圖1
圖2
圖3
分析與思考
用戶在嘗試刪除這些異常的快捷方式時(shí)����,彈出的提示信息是windows默認(rèn)的提示����。這個(gè)提示并不陌生,顯然����,這些快捷方式在刪除時(shí)確實(shí)是被其它程序正在使用,這很可能是病毒惡意進(jìn)行保護(hù)的手法���,針對(duì)此類情況可嘗試從異常的進(jìn)程或異常的動(dòng)態(tài)鏈接庫下手����,進(jìn)行異常項(xiàng)目檢查較為合理。
雖然已經(jīng)明確將IE設(shè)置了使用“空白頁”����,但是頁面還是默認(rèn)訪問了某個(gè)地址,并且這個(gè)操作似乎是在調(diào)用IE本身的某些功能����,強(qiáng)制IE訪問了某些地址。這個(gè)應(yīng)該嘗試從IE的注冊(cè)表加載項(xiàng)入手來梳理才好���。
檢測(cè)和手動(dòng)處理方法
檢測(cè)工具:wsyscheck
1�、刪除異常進(jìn)程
經(jīng)使用wsyscheck 發(fā)現(xiàn)����,異常進(jìn)程“explorer.exe”和“smss.exe”所在目錄與正常的“explorer.exe”和“smss.exe”系統(tǒng)進(jìn)程所在的目錄不同。
使用wsyscheck 選擇異常進(jìn)程后����,右鍵點(diǎn)擊菜單中的“結(jié)束進(jìn)程并刪除文件”。
圖4
2�、刪除異常的注冊(cè)表加載
使用wsyscheck ,切換到“安全檢查”-“IE安全”項(xiàng)目下��,可發(fā)現(xiàn)三項(xiàng)異常的注冊(cè)表加載信息����,右鍵點(diǎn)擊菜單中的“修復(fù)所選項(xiàng)”,來清除異常的IE瀏覽器加載項(xiàng)目�����。
圖5
3��、刪除異常的“開始菜單”-“啟動(dòng)”項(xiàng)目
使用wsyscheck �����,切換到“安全檢查”-“活動(dòng)文件”項(xiàng)目下�����,可發(fā)現(xiàn)在系統(tǒng)的“All User[開始]菜單程序啟動(dòng)”目錄下有異常的快捷方式�����。右鍵點(diǎn)擊菜單中的“修復(fù)所選項(xiàng)”���,來清除異常的快捷方式啟動(dòng)加載項(xiàng)目�����。
圖6
總結(jié)
完成以上操作后�,再次嘗試手動(dòng)刪除桌面那幾個(gè)惱人的快捷方式就會(huì)發(fā)現(xiàn),這些惱人的快捷方式終于可以成功刪除了!再打開IE瀏覽器看看�����,現(xiàn)在也不“被訪問”那個(gè)“網(wǎng)址導(dǎo)航站了”�,默認(rèn)就老老實(shí)實(shí)的停留在筆者設(shè)置的“空白頁”上。
至此��,針對(duì)用戶遇到的這個(gè)“桌面惡意快捷方式”算是處理干凈了���,無非也就是從注冊(cè)表的瀏覽器默認(rèn)加載項(xiàng)目���,異常文件和異常的啟動(dòng)項(xiàng)目入手,層層入手抽絲剝繭似的處理罷了�。
