从某电子书网站下载了一些电子书,其中有一个.exe后缀的文件,由于以前也曾经使用过exe格式的电子书,所以就没有在意,但运行后却发现电脑桌面上多出了几个图标(小游戏、免费电影、IE),IE浏览器的主页也被更改了,这才发觉自己已经不幸中招了。
使用瑞星卡卡查看系统的“启动项”,发现多出了两个文件,一个是22.vbs,另一个是sys.exe。Sys.exe应该是宿主程序,根据瑞星卡卡的文件信息提示,找到了它们的文件夹c:\program file\systemfiles并进行删除。然后又检查了相关的文件夹以及桌面图标、注册表项、启动项,最后又把IE主页设为空白,重启电脑后,感觉一切正常,可是当我打开360浏览器后,却发现主页还是自动跳转到了一个陌生的网站上。
真是奇怪,一时想不起该从何处人手了,这时我想起了电影里的一句名言:当一切都陷入混沌,为什么不从头开始。于是,我把病毒文件又从回收站里“请”了回来,使用记事本打开22.vbs,发现开头一段内容是这样的:
文件使用的是vbsctript语言,最后一句是运行3.bat批处理文件,我又使用记事本打开了3.bat文件,发现里面是删除桌面的IE图标,没有找到那个网址,继续再向下查看22.vbs文件,发现了这样一行:
使用记事本打开3.vbs文件,在开头看到了这样几行信息:看到newpath那行了吗?与我打开360浏览器时打开的网址是一样的。3.vbs文件的结尾是:
Doits888函数就是调用浏览器,程序作者真是绝呀,竟然把常用的浏览器都给添加上了。注意到“lnk”了吗?这是文件快捷方式的后缀,向下看“oShLnk.Arguments=newpath”,就是把“newpath(newpath="https://www.weixianmanbu.com/?360")”赋给了oShLnk.Arguments,oShLnk.Save应该是保存的意思。
看来问题与快捷方式有关,在360浏览器的图标上点鼠标右键,选择“属性”一“快捷方式”,可以看到“目标”栏里的内容是“F:\Program Files\360\360se3\360SE.exe”https://www.weixianmanbu.com/?360。后面那个正是我们打开360浏览器时自动跳转到的网页,把它去掉,重新还原成"F:\Program Files\360\360se3\360SE.exe"进行保存,再次打开360浏览器,这回变成空白页了,成功了!
这种打开指定网页的方式与我们常见的修改IE主页的方式有所不同,希望大家再碰到这类的问题时能够有所注意。