圖1
圖2
圖3
分析與思考
用戶在嘗試刪除這些異常的快捷方式時�����,彈出的提示信息是windows默認的提示�。這個提示并不陌生��,顯然���,這些快捷方式在刪除時確實是被其它程序正在使用�����,這很可能是病毒惡意進行保護的手法�����,針對此類情況可嘗試從異常的進程或異常的動態(tài)鏈接庫下手�,進行異常項目檢查較為合理�。
雖然已經(jīng)明確將IE設(shè)置了使用“空白頁”,但是頁面還是默認訪問了某個地址�����,并且這個操作似乎是在調(diào)用IE本身的某些功能,強制IE訪問了某些地址���。這個應(yīng)該嘗試從IE的注冊表加載項入手來梳理才好��。
檢測和手動處理方法
檢測工具:wsyscheck
1����、刪除異常進程
經(jīng)使用wsyscheck 發(fā)現(xiàn)��,異常進程“explorer.exe”和“smss.exe”所在目錄與正常的“explorer.exe”和“smss.exe”系統(tǒng)進程所在的目錄不同��。
使用wsyscheck 選擇異常進程后����,右鍵點擊菜單中的“結(jié)束進程并刪除文件”。
圖4
2�、刪除異常的注冊表加載
使用wsyscheck �,切換到“安全檢查”-“IE安全”項目下,可發(fā)現(xiàn)三項異常的注冊表加載信息�,右鍵點擊菜單中的“修復(fù)所選項”,來清除異常的IE瀏覽器加載項目�����。
圖5
3、刪除異常的“開始菜單”-“啟動”項目
使用wsyscheck ����,切換到“安全檢查”-“活動文件”項目下,可發(fā)現(xiàn)在系統(tǒng)的“All User[開始]菜單程序啟動”目錄下有異常的快捷方式�����。右鍵點擊菜單中的“修復(fù)所選項”��,來清除異常的快捷方式啟動加載項目����。
圖6
總結(jié)
完成以上操作后,再次嘗試手動刪除桌面那幾個惱人的快捷方式就會發(fā)現(xiàn)��,這些惱人的快捷方式終于可以成功刪除了!再打開IE瀏覽器看看�,現(xiàn)在也不“被訪問”那個“網(wǎng)址導(dǎo)航站了”,默認就老老實實的停留在筆者設(shè)置的“空白頁”上��。
至此��,針對用戶遇到的這個“桌面惡意快捷方式”算是處理干凈了��,無非也就是從注冊表的瀏覽器默認加載項目���,異常文件和異常的啟動項目入手�����,層層入手抽絲剝繭似的處理罷了����。
