近日,朋友的电脑桌面上纷纷出现了两个IE图标,其中一个是正常的,但另一个却无法删除,右键点击时弹出来的菜单非常诡异,最让人受不了的是双击打开后会跳到一个恶意网址。
在右键菜单里居然没有删除这个选项,不过看到右键菜单中有个属性,心里不由激动了一下,希望能从中找出点什么东西,赶紧打开属性,狂汗……原本以为里面是快捷方式劫持之类的东西,结果不是,跳出来的是IE的Internet选项,而默认主页却是正常的。
自然而然的,我想到了使用粉碎文件来解决,结果360的文件粉碎机居然连面部没见就败下阵来,点击添加文件,进人桌面,里面根本就没有Internet Explorer这个快捷方式,我又试着将那个快捷方式拖进去,鼠标却显示不可用,使用其它的粉碎机,比如unlocker,也都不管用。
看来又遇到硬骨头了,我猜想这有两种可能,一是中了木马病毒,有个进程正在监控着这个快捷方式;另一种可能就是注册表被修改了。于是我打开了360和冰刃查看进程,结果没有发现什么问题,看来应该是注册表的问题了。
那么如何寻找到被修改的注册表呢?总不至于一个一个的翻吧!突然我想到,可以从那个恶意网址下手啊,既然能够打开那个网址,那么在注册表里就一定有记录。在“开始”——“运行”栏里输入regedit打开注册表,按Ctrl+F查找所有带字符的项、值和数据。很快就在“HKEY_CLASSES ROOT\CLSID\{BID52iBD_BD50_D123-3576-72Dl2855633D}\Shell\Open\Command”这里找到了一个。
我马上把“{BID52IBD-BD50-D123-3576-72D12855633D)”这一整个项都删除,很高兴的返回到桌面上,刷新一看,呵呵,图标变成默认的图标了,而且右键也变了,重点是有了“删除”这个项。点击删除,弹出了删除确认对话框,当然是点“是”进行删除了。经过检测,已经没有遗留问题了。
很快,我就帮朋友们把这个老顽固给解决了,不过,仅仅是把这个东西删除掉可不是我们的目的,我们要好好的研究一下,看这个东西是如何实现的。于是我就建了一个虚拟机,尝试着在HKEY_CLASSESROOT\CLSID\里面新建一个“{BID52IBD-BD50-D123-3576-72Dl2855633D}”项,里面也添加了Shell\Open\Command等等项目,期待着有奇迹发生。返回到桌面,刷新一下,让我失望的是什么也没有增加,看来注册表并不仅仅是一个地方被修改了。
现在还是那个问题,怎样寻找到其它被修改的地方呢?我再在注册表里搜索,没有任何发现,难道就这样放弃吗?我又想,既然两个注册表项是相互呼应的,那么就应该有一定的关联,会不会是注册表项的名字呢?那名字又会是什么呢?当然是“{B1D521BD-BD50-D123-3576-72D12855633D}”了。
于是我又在注册表里搜索“{B1D521BD-BD50-D123-3576-72D12855633D}”,哈哈,果真是这个,我在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\"里面发现了它的踪迹,不过这里面什么也没有,没有子项,只有一个默认的值,而且是空值。
不过我还是尝试了一下,在虚拟机的“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersior\Explorer\Desktop\NameSpace\”里添加了一个“fB1D521BD-BD50-D123-3576-72D12815633D)”项,又满怀希望的返回到桌面刷新了一下,哈哈,这回终于成功了。我把被修改的注册表项导了出来。
后来经过测试,发现项目名称并非一定要是“B1D521BD-BD50-D123-3576-72D12855633D”,只要长度相同的16进制名称都可以(即只能含有0-9,A-F的字符串)。这次的探索就到此为止,希望能给广大朋友们带来一点启发。