自2010年1月起,Adware/StartPage(Adware/HomePage)就开始活跃起来,它们多是绑在正常软件或是在一些不正规的下载站提供的下载链接上方伪造出一个”点此下载“的按钮骗人下载,非常像是几年前的”流氓软件“以及折腾了很久的”工具条大战“,当时以360安全卫士一方胜出并且就此打下江山,不过新一轮的清理……又要开始了。

本文来自www.sacour.cn 转载注明来源

百度关键词搜索”主页被锁定成www.“(http://www.baidu.com/s?bs=%D6%F7%D2%B3%B1%BB%CB%F8%B6%A8%B3%C9http&f=8&wd=%D6%F7%D2%B3%B1%BB%CB%F8%B6%A8%B3%C9www.),满眼尽是中这类的毒无法解决的:


而这类主页篡改程序通常使用RARSFX包,包内有VBS、LNK、BAT文件。

动作一般为:
1. 释放vbs到windows目录中,建立启动项,并且用vbs屏蔽一些系统功能
2. 释放lnk文件到桌面、到Quick Lanunch目录下
3. 部分建立计划任务(C:\windows\tasks)
4. 部分在启动组建立启动项
5. 部分替换系统文件,如ctfmon.exe等
6. 一般的都会在HKCR\CLSID\下建立一个新的CLSID,指向IE,但是启动命令有所修改,从而在桌面生成一个不可删除的IE图标
7. 部分会把在桌面上生成的LNK文件加权限使其无法被删除

而修复一般需要的工具有:
1. ※※卫士(360安全卫士或者金山安全卫士)、※※急救箱(360系统急救箱或金山系统急救箱或瑞星的等等都可以)
2. SREng(或者其他类似的)
3. Unlocker(或其他类似的)

清理步骤比较多了,直接用录像了,开始准备说多录几个的,不过后面发现动作都一个样,就只录了一个了,传到Rayfile去了:

录像下载地址(注意是使用屏幕录像专家录下来的,EXE格式是屏幕录像专家默认的格式,能缩小体积,所以不用担心,没有病毒):
http://www.rayfile.com/zh-cn/files/6836a9d7-8331-11df-ad5d-0015c55db73d/