2548、455网址导航恶意插件清除方案.docVIP

浏览器首页被修改为/?in或怎么办？桌面上多了虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件，该如何删除？安天病毒专家帮你分析解答。 ??????? 2010年6月9日，安天实验室接到用户上报一个篡改快速启动栏以及开始菜单内的IE浏览器主页并锁定IE首 页为或的顽固样本，当此样本运行后会弹出一个/?in的页面(如 图1)，在桌面上创建虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件（如图2、 3、4.），具体分析如下： 图1. 图2. 图3. 图4. 样本描述： 该流氓软件样本文件为一个包裹，可用7z直接打开或解包（如图5.），此包裹文件内多为BAT批处理文件和 VBS脚本文件，此包裹文件运行后会批量运行包裹文件内部的批处理和VBS脚本文件,脚本行为如下： 将winare.vbs写入启动项（如图6.） 拷贝自身到C:\Program Files\WinWare目录下（如图7.） 写入多个计划任务（如图8.） 图5. 图6. 图7. 图8. ? ? 本地文件行为：（释放文件） c:\Documents and Settings\Administrator\Recent\winare.vbs.lnk c:\Documents and Settings\Administrator\Recent\启动.lnk c:\Docume