今天我的操作系统 Xp中了木马
桌面上有一个伪装的IE图标,这不是系统自带的。每次双击这个图标后,打开的不是所设置的首页,首页始终被锁定成别的网页。
处理方法:
一、找出真正的IE图标:打开显示属性 ->桌面 -> 自定义桌面,
运用ALT + I 组合键(alt和i键),然后点确定,你看一下,桌面上是否已经出现了一个IE图标。如果没有,重新运用一下该组合键,然后再点确定。
二、打开注册表:
在开始 -> 运行 里输入 regedit 然后,确定。
三、在注册表中,搜索 www.93321.net 然后定位到这个位置(本例中是主页被锁定成www.93321.net,如查你的主页被锁定成别的网址,就搜索你被锁定的网址)
将左边的 {112FDC99-4915-4f6e-B11B-41370D5F9A1A} 删除(本例中是这个项,具体看你搜索结果及定位,根据实际情况,可能会有所不同),
观察桌面上的图标的变化,假冒的IE图标发生了变化。在假冒的IE图标上,点击鼠标右键,选择删除。
四、在注册表中:
定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
观察右侧的Shell的值,本例中被修改成了 Explorer.exe,C:\windows\system32\netbugreport.exe
将Shell的值改成默认的值Explorer.exe
五、找到c:\windows\system32\netbugreport.exe,删除(不放心的可以改下名子)。
六、附上相关的部分注册表项
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}]
"InfoTip"="@shdoclc.dll,-880"
"LocalizedString"="@shdoclc.dll,-880"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\DefaultIcon]
@=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,\
00,30,00,00,00
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\InProcServer32]
@="%SystemRoot%\\system32\\shdocvw.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell]
@="打开主页(&H)"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell\属性(&R)]
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell\属性(&R)\Command]
@="rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell\打开主页(&H)]
"MUIVerb"="@shdoclc.dll,-10241"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell\打开主页(&H)\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe http://www.93321.net"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\ShellFolder]
"HideFolderVerbs"=""
"WantsParsDisplayName"=""
"HideOnDesktopPerUser"=""
"Attributes"=dword:00000000
注意:
四 和 五 非常重要,如果不进行检查,则 三 的操作将无效,一重启电脑就还是老样子。
好了,到此为止,双IE图标的情况已经解决了。
如果你遇到的也是双IE图标的情况,但通过这种方式不能解决的,可以留言给我,大家共同找到应对的方法。