本例中的365j并没有直接劫持IE主页,而是修改了在开始菜单旁边的快速启动栏中的IE快捷方式的属性,在快捷方式目标指向的IE程序后面添加自己的网址:http://www.365j.com/?xxx5。不仅如此,还限制用户修改与删除此快捷方式,如果想在快捷方式属性中删除被强制添加的网址,就会提示“无法将所做的改动保存到Internet Explorer.lnk 拒绝访问”;如果想直接删除该IE快捷方式,则提示“无法删除Internet Explorer:访问被拒绝 请确定磁盘未满或未被写保护而且文件未被使用”。
对于这种修改快捷方式属性达到劫持IE主页的方式,最简单的修复方法就是删除被篡改快捷方式,而普通删不能删除它,就得采取强制删除的措施对付这种顽固的文件(快捷方式)。在确认这种”顽固“不是由某些恶意进程保护引起的情况下,可以使用强制删除工具,如各种文件粉碎器、粉碎机,还有冰刃、wsyscheck、powerrmv、xdelbox、unlocker等等,总之,只要能删除就可以。
如果有恶意进程监控(如启动项、驱动等),就要先清除这些保护者,再进行删除操作,至于如何分辨出这些可疑的进程,就不是一两句话能说清的,有兴趣的话,可以看看”用你的眼睛直接识别病毒文件系列“(时间篇、文件名篇、版本信息篇、位置篇)。
回到本例,最后用户是用360的粉碎机搞定这个难缠的快捷方式。