找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 366|回复: 3

[【推荐】] 桌面真假IE图标之解决与改造

[复制链接]
发表于 2010-5-6 10:56:13 | 显示全部楼层 |阅读模式
似乎最近比较流行的病毒吧,希望找到解决办法。
http://www.3dch.net/read.php?tid-245247.html


最近频频有网友在安装某桌面工具条,或进入某网站后,桌面多出几个IE图标,一个是原来正常的桌面IE,其它多出的都是恶意程序,有的是快捷方式可删除,有的是桌面图标不但不能删除,右键也没有删除选项:

右键没有删除
  右键属性会看到目标指向它的网址,不小心打开后就会连到该网站。

目标指向网址
  各种删除工具拿它没辙,文件粉碎机也咬它不动。现在很多杀毒软件都推出了专杀工具,也有网友制作修复软件,但这些小图标似乎痴心不改,不知哪天会倒贴回来。其实只要洞悉原理,一刀足矣。好吧,我们先除草,再揭底,最后举一反三,加以正面利用。
  一刀斩
  右键桌面-排列图标-运行桌面清理向导,勾选全部internet explorer,完成后桌面ie图标消失,出现“未使用的快捷方式”文件夹。

快捷运行清理桌面向导
  进去一看,ie图标全变成了文件夹,文件夹有一个长长的扩展名——这个文件夹已经可以删除了。


清理后ie图标变文件夹,拖回桌面恢复为ie图标
  图中ie是正常图标,文件夹扩展名是{871C5380-42A0-1069-A2EA-08002B30309D};将此“文件夹”拖回桌面,又恢复为IE图标。若是病毒ie图标,文件夹扩展名会是另外一串数字,笔者未曾中招不能提供实例;但那个扩展名是随机的,因人而异,暂假设为{xyz}。
  斩草除根
  是佛是魔,原理相同,都是往系统注册了一个组件,这串数字就是该组件的类别ID。以下是系统常用ClassID(简称CLSID):
  我的文档:{450D8FBA-AD25-11D0-98A8-0800361B1103}
  我的电脑:{20D04FE0-3AEA-1069-A2D8-08002B30309D}
  回收站:{645FF040-5081-101B-9F08-00AA002F954E}
  Internet Explorer:{871C5380-42A0-1069-A2EA-08002B30309D}
  冒牌ie:{xyz}
  好了,现在我们在注册表中搜索这个{xyz},推荐使用Registry Workshop,拥有闪电般搜索速度,并可列表显示所有搜索结果,双击即可转到,多选还可批量删除。
软件名称:
Registry Workshop
软件版本:
4.2.2 中文版
软件大小:
1082k
软件授权:
共享
适用平台:
Win2000 WinXP Win2003
下载地址:
Registry Workshop
  注册表中搜索流氓图标ID,一般会找到这两个:
  一在HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Desktop\\NameSpace

&namecode=pcedu&subnamecode=pcedu_index]

[/url]
桌面图标对应ID
  这里是给桌面添加系统图标(不是快捷方式)时“报名”的ID,笔者使用XP Home Edition,情况与大家大同小异。依次展开各项,可以看到这些ID中有ie历史搜索夹、计算机搜索结果夹、我的文档、回收站、搜索结果夹,这些都是系统使用的特殊文件夹,它们的图标其实都存在于资源管理器目录树中:

&namecode=pcedu&subnamecode=pcedu_index]

[/url]
搜索时资源管理器目录树出现搜索文件夹
  桌面出现假ie图标,就因这里有它的ID,我们找到这个ID删掉,桌面图标就消失了。不让删?别急,这是病毒加了只读权限——这就是为什么桌面图标右键没有删除选项——只要右键注册表该ID项“权限”,全勾允许,再点“高级”,取消“从父项继承……”,确定后即可删。
  二在HKEY_CLASSES_ROOT\\CLSID\\下,这里是组件类别ID注册的大本营,里面每一项下面的InProcServer32项都指向一个dll文件,这是组件的文件实体。我们只要找到指向的dll文件强制删除(常备小巧Unlocker或强大IceSword),再把这项ID加权限后删掉,假IE图标就连根拔除了。当然,卸载流氓软件、清理启动项,才能杜绝死灰复燃。
  大改造
  塞翁失马,焉知非福?出了小问题大家习惯请出第三方工具软件,其实如果试着手动解决,明了原理,燃眉之急过后,我们还可继续举一反三,学到更多、解决更多。
  1、发散思维:更改系统图标。
  继续在注册表中搜索那些系统CLSID,通常可找到如下位置:
  HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\CLSID\\
  这里每一项下面都有个DefaultIcon项,顾名思义是更改以上组件默认图标的地方。

&namecode=pcedu&subnamecode=pcedu_index]

[/url]
更改“我的电脑”图标
  例如,展开“我的电脑”ID:{20D04FE0-3AEA-1069-A2D8-08002B30309D},在DefaultIcon里填入你喜欢的ico图标文件地址,刷新后“我的电脑”图标就改过来了。同样我的文档、回收站、控制面板等的图标都可以这样改,是不是很好玩?
  当然,在“自定义桌面”对话框里也可更改桌面图标,但这里定义的远不止桌面图标,例如:
  {21EC2020-3AEA-1069-A2DD-08002B30309D}:控制面板;
  {2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}:开始菜单里的“运行”;
  更多机要大家可自己摸索。如在Registry Workshop中搜索出所有这个ID,总有一处指示着它对应的系统位置。
  2、逆向思维:把文件夹伪装成系统图标。
  在最开始我们看到ie图标变成了以其ID为扩展名的文件夹,反过来想,只要把ie的ID当作“扩展名”附着给某文件夹,那这个文件夹是不是变成了ie图标?试试看,例如“我的电脑”的ID是{20D04FE0-3AEA-1069-A2D8-08002B30309D},新建一个文件夹命名为“新建文件夹.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”,确定后即可以看到文件夹突然变成“我的电脑”了,神奇吧!


文件夹重命名后变成“我的电脑”
  双击这个图标,果然转到了我的电脑!这样,我们可以把文件夹伪装成我的电脑、回收站、ie、控制面板,给个合适的名字,放在合适的地方,别人进去后还真以为是正常地转到这些位置呢。与其偷偷摸摸,躲在阴暗角落里,不如正大光明,招摇过市,不亦乐乎!白居易有云“小隐隐于野,大隐隐于市”,说的就是这种隐藏方式吧!

双击打开果然转到了“我的电脑”
  总之,笔者建议,出了问题不要杞人忧毒,赶紧杀毒、重装、格式化,也不要满足于请出工具软件就地立斩,一了百了。王夫之生平痛恨佛老,却于二者皆有深造,并说“盖入其垒,袭其辎,暴其恃,而见其瑕矣,见其瑕而后道可复也。”(《老子衍》序)菜鸟中招后问一句“为什么会这样”,研究之,学习之,总有一天能百毒不侵,反客为主,加以利用为我造福。
回复

使用道具 举报

发表于 2010-5-6 11:08:37 | 显示全部楼层
其实不用这么麻烦;

1. 用谷歌的 Chrome 浏览器。

2. 右击ie图标--属性--目标: 把 后面的那一段 http:xxxxx  的网址删除掉,不久ok了。
回复

使用道具 举报

 楼主| 发表于 2010-5-6 11:25:54 | 显示全部楼层
楼上的应该没有中过这个病毒吧。。
回复

使用道具 举报

发表于 2010-5-6 13:39:59 | 显示全部楼层
以前有过,后来不知道怎么就正常了。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-17 02:27 , Processed in 0.229311 second(s), 18 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表