最近很多人抱怨由于安装苹果工具条而导致被365j.com劫持IE主页,虽然以前有收录一篇相关文章《苹果工具条带来的365j》,不过其中有的内容并不详细,因此决定亲身测试一下这个苹果工具条的365j.com有多难缠。
下载安装苹果工具条(或者叫果果工具条),这是从它的“官方”网站www.ggkkj.com下载的。安装过程中没有任何提示将修改IE主页的信息。安装后运行,任务管理器中出现两个进程macjie.exe和macjie.ax,后者macjie.ax就是悬浮在桌面上方的工具条,前者可是一个很有用的进程,担任多种任务:首先是修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\USERINIT,将其值“C:\WINDOWS\system32\userinit.exe,”改为“C:\WINDOWS\system32\userinit.exe,C:\Program Files\avd\macjie.exe”作为启动项,然后修改HOSTS文件,将其内容改为“127.0.0.1 localhost”,也就是说如果你想在HOSTS中设置拦截恶意网站,它都给你清空了,而且此行为在MACJIE.EXE每次启动运行时都会执行一遍,即使你将www.365j.com加入HOSTS并指向127.0.0.1来拦截,它也会把HOSTS给“复原”了,使你目的落空;除此外macjie.exe还有一个保护的任务,就是不让你修复被添加了365.com网址的快捷方式,即使你结束macjie.exe进程并修复了快捷方式,下次它再运行会又一次添加自己的网址到快捷方式的属性中。
在安装完苹果工具条后,桌面上的原来的IE图标与快速启动栏中的IE快捷方式会被删除(或隐藏),然后自己创建一个桌面IE图标(不带快捷方式的小箭头)及快速启动栏中的IE快捷方式,当然这都是经过修改的。先说说桌面的这个假IE图标,看下图,图标都是一样,但左为假,右为真,右击后菜单顺序不一样,即使是假的IE图标,点那个菜单中的“属性”也能打开internet选项,IE主页是http://www.365j.com/?gg,但那个“删除”命令是没用的,你想点它来删除是不可能的。
下面看看构造这个以假乱真的IE图标的注册表,
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}]
@="Internet Explorer"
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\DefaultIcon]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe,-32528"
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell]
@=""[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\D]
@="删除(&D)"
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\D\Command]
@="Rundll32.exe" 这个就是假IE图标菜单上的“删除”命令,实际的指令是rundll32.exe,怎么能真的删除呢[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\Open]
@="打开主页(&H)"
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\Open\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe %1 h%t%t%p%:%/%/%w%w%w%.%13%16%15%j%.%c%o%m%/%?"
注意这个主页,后面的h%t%t%p%:%/%/%w%w%w%.%13%16%15%j%.%c%o%m%/%?"就是http://www.365j.com,很有创意。[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\属性(&R)]
@=""
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\属性(&R)\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl" 这个“属性”确实调用了internet选项,所以能打开真实的internet选项[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\ShellFolder]
@=""
"Attributes"=dword:00000010
这整个项都是新建的,修复时可以直接删除HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B},这样桌面的图标才能消失。
下面看快速启动栏上的IE快捷方式,这个也是新建的,原来的IE快捷方式是从原桌面的IE图标那关联过来的,正常的属性中目标那一栏是灰色的Internet Explorer,而新建的目标一栏是可修改的,并在ie程序后加上365.com的网址,而且整个快捷方式文件属性是“只读”。如果你直接修改这个快捷方式想删除其中的网址,或者想删除它,都是不可能的,会提示“无法将所做的改动保存到Internet Explorer.lnk 拒绝访问”和“无法删除Internet Explorer:访问被拒绝 请确定磁盘未满或未被写保护而且文件未被使用”,这是因为它的权限被修改了,以及那个只读在作怪。修复方法:先结束macjie.exe进程(别忘了它在保护),然后右击快速启动栏上的IE快捷方式,点击进入属性-安全页,看到everyone的权限,把“完全控制”勾选,点“应用”确认,返回第一页“常规”,把只读属性去掉,再应用,最后进入“快捷方式”页,到目标那就可以修改并保存修改了。其实,上面这些只是为了说明这个苹果工具条的篡改IE快捷方式的过程,真正修复不用这么复杂,权限恢复、只读去掉,就直接删除,然后重新建(这个后面说)。
说到权限,还有一处,也是因为权限的限制,而不能修改,是注册表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,其中的Start Page也是被修改成365j,如果想删除这个值,也不让改,这时右击Main-权限,同样everyone:完全控制,然后就能改了。这就是论坛求助时有人说注册表不让改的原因。
具体的清除过程下篇再说。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/462.html
