病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« ThunderAdvise.dll双击驱动器或文件夹弹出属性页 »

关于桌面多出的IE图标的说明

  写个前言,我知道,还是有很多人不愿意看完全文,或者看完说“这太复杂了,有没专杀或什么工具,一下就搞定”之类。关于这样的专杀或工具我知道的不多,愿意看就看完,希望对你有帮助,看不完的,或还是不懂或不愿意懂的,可以去自己去找工具,我在文末列出一些工具,自选,如果这些工具也解决不了并且也找不到其它方法的,重装吧。

  好象好多人都在问这事,注意由于涉及到注册表操作,建议事先做好注册表的备份或建立还原点。

假冒的IE桌面图标

如图,就是这样在桌面多一个IE图标(这个菜单内容是可以改的)。我也三个IE图标的,一个真的,两个假的,其中一个假的就是快捷方式(不过不带小箭头)。这种桌面图标在注册表中的位置是:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\

展开NameSpace,下面会有一些类似{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}字串的名字,右边框中会出现它们的值,但不能依据这些值判断,因为恶意程序可能仿造名称,如“Microsoft Office Word 2003”之类。

  然后用这些字串作关键字到注册表中查找,主要是找

HKEY_CLASSES_ROOT\CLSID\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\

对应的含有以上字串的项,如

HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\

因为HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下可能有多个项,要逐一搜索,找到一个,就展开查看,是否有有关IE的信息,包括假的IE图标和菜单,如下面(不一定所有的假冒图标都是这样的,仅供参考)

[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}]
@="Internet Explorer"
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\DefaultIcon]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe,-32528"  这里是引用IE图标,可能用其它图标,这样桌面上多出的就不一定是IE
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell]
@=""
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\D]
@="删除(&D)"   这里就是菜单上的“删除”,但并没有删除功能,只是幌子
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\D\Command]
@="Rundll32.exe" 
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\Open]
@="打开主页(&H)" 这里就是菜单上的“打开主页”,下面就是网址(网址http://后面我省略了),用于劫持IE主页
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\Open\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe %1 http://xxxx"
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\属性(&R)]
@=""
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\Shell\属性(&R)\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl" 
[HKEY_CLASSES_ROOT\CLSID\{BB47BD1D-B162-35DB-B0D4-DD26BD64216B}\ShellFolder]
@=""
"Attributes"=dword:00000010  更新补充Attributes的知识:正常情况下真正的IE图标的"Attributes"值为十六进制的00000000时,没有删除选项,而为十六进制的00000024时,右键有删除选项

  只有这样找对了,才能确认桌面假的IE图标对应的在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下的字串。要修复,就是删除这个字串以及HKEY_CLASSES_ROOT\CLSID\和HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\下同样的字串,删掉了,桌面的IE图标才能消失(如果有木马或病毒进程保护,再次生成,不在本文讨论范围内)。

  有的IE主页修复工具可以删除此类假冒的IE图标:http://bbs.icpcw.com/viewthread.php?tid=1730465,除此外,还有windows清理助手(www.arswp.com),也许金山的急救箱及360也能做到,还有windows自带的桌面清理(右击-桌面-排列图标-运行桌面清理向导)。

参考文献:
如何修复被劫持、篡改的IE主页
实战苹果工具条清除365j.com(调查篇)

http://hi.baidu.com/litiejun/blog/item/9b6d114e956071c3d1c86a94.html

附一些NameSpace下的正常值(可能不同电脑、系统会有不同,仅供参考)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
@="Computer Search Results Folder"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}]
@=""
"Removal Message"="@mydocs.dll,-900"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}]
@="Recycle Bin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
@="Search Results Folder" 

补充一点具体操作的方法
先对比一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace中除了以下的内容外还有什么(以下四个是正常项,至少对应XP、2000系统)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
如果有发现多余的{……}这样的字串,再找注册表其它地方含有这样字串的项,如果在它们下面看到有对应图标右键菜单的内容,就全部删除(包括HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下的),是删除{……}这样的项,不是只删除菜单内容。建议删除前,先备份注册表。如果上面没有多这样字串或者上面已经做完了,就搜索注册表,找对应的网址,找到后,就删除网址,注意这里只删除网址,其它的地方都 不删除,包括网址前的iexplore.exe这样的内容。最后检查一下IE快捷方式的属性,包括桌面、快速启动栏、开始程序菜单中的IE快捷方式


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/569.html

  • 1楼.kshaoye
  • 如果右键点IE LOGO没有“删除”选项怎么办?
    流风33 于 2009-12-23 21:22:13 回复
    没有删除选项,也有其它菜单内容,即使没有其它菜单内容作关键字,也可以用网址、http、ie程序名等作关键字在注册表中搜索
  • 2009-12-23 8:27:10  [引用]

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号