haoha123 的主要症狀就是 在快捷列及桌面 都會多一個 IE 的快捷列,連結內容是 "C:\Program Files\Internet Explorer\iexplore.exe" http://www.haoha123.com/ 所以 大家在桌面看一個瀏覽器連接到哪邊,針對快捷列上的圖示(ICON)或是桌面的捷徑,點滑鼠右鍵,選內容。 因為我的是繁體 windows 所以,圖面上有亂碼。 更特別的是,這個刪除不掉,同時,瀏覽器的主頁(homepage/start page) 被設定成 http://www.haoha123.com 改都改不掉。 接下來,我們一一的處理。 刪不掉的原因很簡單,因為沒有權限 所以,對快捷列上的圖示,按下滑鼠右鍵,選 [內容] - [安全性] 你會看到底下的圖: 請點選 -[完全控制] ,完成後就會是底下的圖 點選確定,這時候就可以直接刪除了。 同樣方法刪除桌面上的快捷路徑。 接下來,我們要點選 [開始]-[執行] 請輸入 regedit 請找尋 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 看到 C:\WINDOWS\system32\dxtmsfmt.exe 嗎? 就是這個檔案做的好事,因為沒有病毒碼藏在上面,所以,掃毒程式完全掃不到 這個程式做了哪些事呢? 1.產生桌面及快捷列上的 IE 快捷鏈結,及修改這兩個.lnk 的權限 2.設定 registry 中 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Main" 的權限 3. 設定瀏覽器的主頁是 http://www.haoha123.com 請改 機碼 "Userinit" 留下 "C:\WINDIWS\system32\userinit.exe" 就好 修改之後如下圖 到這裡要請大家順便備份一下自己 "C:\WINDIWS\system32\userinit.exe" 的文件喔,這個文件一但被病毒修改,是沒有解毒軟體敢處理的,這個文件很重要 也順手將 "C:\WINDOWS\system32\dxtmsfmt.exe" 刪除 請找尋 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 你會看到下圖 然後維持左邊點選 Main ,如下圖操作 你會看到下圖 同樣可以發現是沒有權限 正規的做法是把 administrator 還有你的使用帳號加上,設定為完全控制 懶惰的做法就是直接點選完全控制,點選確定。 然後可以關掉 registry 的畫面,直接從瀏覽器設定主頁就可以了。 解除步驟至此完成。 |