到网上搜索了一下,发现系统的桌面快捷方式都放在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace
下面,是COM程序的形式.找到名为Internet Explorer快捷方式对应的的ClassID是{D8B9F522-3C24-11D4-97C2-0080C882687E}, 在删除它之前,为了再确证一下,再到HKEY_Classes_Root\CLSID下面找一下,结果发现下面的Shell\command\下的默认项的值被修改为
H:\Program Files\Internet Explorer\IEXPLORE.EXE %1 h%t%t%p:%//%w%w%w.%19%19%12%k.%c%o%m
也就是说,每次IE都会带着后面的网址启动.(这一点其实也可以利用来启动自己喜欢的网站,但修改起来不是很方便). 看来流氓软件是修改系统的快捷方式,或者是自己生成的这个系统图标快捷.
做法很简洁,把%1后面的内容全部删除,保存以后就可以了.或者彻底一点,把NameSpace包含该CLSID的分支全部删除,这样桌面上就没有IE的图标了.
最后用DrWeb扫描了一下,没有发现木马,还好.
我试过了此方法可行,不是只删那个文件而是把{D8B9F522-3C24-11D4-97C2-0080C882687E}文件夹给删掉
![SiS001! Board - [第一会所 关闭注册]](images/green001/logo.png){kind=logo}
