该劫持行为并非直接篡改IE主页,而是通过修改IE等浏览器的快捷方式属性,在快捷方式属性的目标程序后添加自己的网址http://www.henbucuo.com,导致一打开浏览器就打开该网站,同时在用户搜索或浏览网页时还弹出http://go.loliso.com。由于采取了保护措施,被篡改的快捷方式无法正常修复,修正或删除后还会自动篡改或重建。
通过检查SREng扫描的日志,在注册表中发现有一项可疑启动:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{225U2K77-9E67-0340-BNT0-1GPZF4MYGETX}]
<N/A><froeff.exe> [Microsoft]
但没有找到文件,是否与该篡改行为有关不得而知,但从进程中发现两个可疑对象:c:\windows\system32\adzpcei.dll(插入系统进程Explorer.exe)和c:\windows\system32\iechui.exe(一个隐藏进程,用SREng可以发现,从另一例同样的“很不错”网站劫持IE对照,这应该是以上恶意行为的关键进程)。删除这两个文件后重启电脑,IE修复完成。