正在阅读:焉知非福?桌面真假IE图标之解决与改造焉知非福?桌面真假IE图标之解决与改造

2010-03-26 14:45 出处:PConline原创 作者:冒青烟底骨头盒 责任编辑:jiangshuwei
1假ie图标之删除与现形回顶部

  最近频频有网友在安装某桌面工具条,或进入某网站后,桌面多出几个IE图标,一个是原来正常的桌面IE,其它多出的都是恶意程序,有的是快捷方式可删除,有的是桌面图标不但不能删除,右键也没有删除选项:

nodel
右键没有删除

  右键属性会看到目标指向它的网址,不小心打开后就会连到该网站。

target
目标指向网址

  各种删除工具拿它没辙,文件粉碎机也咬它不动。现在很多杀毒软件都推出了专杀工具,也有网友制作修复软件,但这些小图标似乎痴心不改,不知哪天会倒贴回来。其实只要洞悉原理,一刀足矣。好吧,我们先除草,再揭底,最后举一反三,加以正面利用。

  一刀斩

  右键桌面-排列图标-运行桌面清理向导,勾选全部internet explorer,完成后桌面ie图标消失,出现“未使用的快捷方式”文件夹。

clean
快捷运行清理桌面向导

  进去一看,ie图标全变成了文件夹,文件夹有一个长长的扩展名——这个文件夹已经可以删除了。

ie2folderfolder2lnk
清理后ie图标变文件夹,拖回桌面恢复为ie图标

  图中ie是正常图标,文件夹扩展名是{871C5380-42A0-1069-A2EA-08002B30309D};将此“文件夹”拖回桌面,又恢复为IE图标。若是病毒ie图标,文件夹扩展名会是另外一串数字,笔者未曾中招不能提供实例;但那个扩展名是随机的,因人而异,暂假设为{xyz}。

  斩草除根

  是佛是魔,原理相同,都是往系统注册了一个组件,这串数字就是该组件的类别ID。以下是系统常用ClassID(简称CLSID):

  我的文档:{450D8FBA-AD25-11D0-98A8-0800361B1103}

  我的电脑:{20D04FE0-3AEA-1069-A2D8-08002B30309D}

  回收站:{645FF040-5081-101B-9F08-00AA002F954E}

  Internet Explorer:{871C5380-42A0-1069-A2EA-08002B30309D}

  冒牌ie:{xyz}

  好了,现在我们在注册表中搜索这个{xyz},推荐使用Registry Workshop,拥有闪电般搜索速度,并可列表显示所有搜索结果,双击即可转到,多选还可批量删除。 

 

软件名称:Registry Workshop
软件版本:4.2.2 中文版
软件大小:1082k
软件授权:共享
适用平台:Win2000 WinXP Win2003
下载地址:Registry Workshop

2假ie图标之学习和改造回顶部

  注册表中搜索流氓图标ID,一般会找到这两个:

  一在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace

id
桌面图标对应ID

  这里是给桌面添加系统图标(不是快捷方式)时“报名”的ID,笔者使用XP Home Edition,情况与大家大同小异。依次展开各项,可以看到这些ID中有ie历史搜索夹、计算机搜索结果夹、我的文档、回收站、搜索结果夹,这些都是系统使用的特殊文件夹,它们的图标其实都存在于资源管理器目录树中:

tree
搜索时资源管理器目录树出现搜索文件夹

  桌面出现假ie图标,就因这里有它的ID,我们找到这个ID删掉,桌面图标就消失了。不让删?别急,这是病毒加了只读权限——这就是为什么桌面图标右键没有删除选项——只要右键注册表该ID项“权限”,全勾允许,再点“高级”,取消“从父项继承……”,确定后即可删。

  二在HKEY_CLASSES_ROOT\CLSID\下,这里是组件类别ID注册的大本营,里面每一项下面的InProcServer32项都指向一个dll文件,这是组件的文件实体。我们只要找到指向的dll文件强制删除(常备小巧Unlocker或强大IceSword),再把这项ID加权限后删掉,假IE图标就连根拔除了。当然,卸载流氓软件、清理启动项,才能杜绝死灰复燃。

  大改造

  塞翁失马,焉知非福?出了小问题大家习惯请出第三方工具软件,其实如果试着手动解决,明了原理,燃眉之急过后,我们还可继续举一反三,学到更多、解决更多。

  1、发散思维:更改系统图标。

  继续在注册表中搜索那些系统CLSID,通常可找到如下位置:

  HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\

  这里每一项下面都有个DefaultIcon项,顾名思义是更改以上组件默认图标的地方。

icosys
更改“我的电脑”图标

  例如,展开“我的电脑”ID:{20D04FE0-3AEA-1069-A2D8-08002B30309D},在DefaultIcon里填入你喜欢的ico图标文件地址,刷新后“我的电脑”图标就改过来了。同样我的文档、回收站、控制面板等的图标都可以这样改,是不是很好玩?

  当然,在“自定义桌面”对话框里也可更改桌面图标,但这里定义的远不止桌面图标,例如:

  {21EC2020-3AEA-1069-A2DD-08002B30309D}:控制面板;

  {2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}:开始菜单里的“运行”;

  更多机要大家可自己摸索。如在Registry Workshop中搜索出所有这个ID,总有一处指示着它对应的系统位置。

  2、逆向思维:把文件夹伪装成系统图标。

  在最开始我们看到ie图标变成了以其ID为扩展名的文件夹,反过来想,只要把ie的ID当作“扩展名”附着给某文件夹,那这个文件夹是不是变成了ie图标?试试看,例如“我的电脑”的ID是{20D04FE0-3AEA-1069-A2D8-08002B30309D},新建一个文件夹命名为“新建文件夹.{20D04FE0-3AEA-1069-A2D8-08002B30309D}”,确定后即可以看到文件夹突然变成“我的电脑”了,神奇吧!

folderrenamefoldericon
文件夹重命名后变成“我的电脑”

  双击这个图标,果然转到了我的电脑!这样,我们可以把文件夹伪装成我的电脑、回收站、ie、控制面板,给个合适的名字,放在合适的地方,别人进去后还真以为是正常地转到这些位置呢。与其偷偷摸摸,躲在阴暗角落里,不如正大光明,招摇过市,不亦乐乎!白居易有云“小隐隐于野,大隐隐于市”,说的就是这种隐藏方式吧!

explorer
双击打开果然转到了“我的电脑”

  总之,笔者建议,出了问题不要杞人忧毒,赶紧杀毒、重装、格式化,也不要满足于请出工具软件就地立斩,一了百了。王夫之生平痛恨佛老,却于二者皆有深造,并说“盖入其垒,袭其辎,暴其恃,而见其瑕矣,见其瑕而后道可复也。”(《老子衍》序)菜鸟中招后问一句“为什么会这样”,研究之,学习之,总有一天能百毒不侵,反客为主,加以利用为我造福。

关注我们

最新资讯离线随时看 聊天吐槽赢奖品