杀毒后遗症——lnk文件指向被篡改(这是一种不同于IFEO映像劫持且不易被察觉的传播方式)

前天去了外公家。他家那台可怜的电脑又奄奄一息了,大量的流氓软件把 Windows XP 折腾得十分狼狈。这些自然是老俩口不小心误装上去的。他们也不懂,一直不知道这些流氓软件的存在。后来中了木马,外婆就不乐意了,因为外婆要玩系统里的”空档接龙”游戏,而这个游戏无法运行了。

于是我去修。当时没带光盘包,没法重装。我给电脑删除了流氓软件、杀掉了病毒,可是”空档接龙”还是无法运行。点击空档接龙提示”vmware.exe不存在”,还说这个快捷方式无效,是否要删除。这可不是什么正常的错误信息,空档接龙的文件名是 freecell.exe,而 vmware.exe 是一 VMWare 虚拟机的名字,很明显是病毒了。我立刻想到是不是映像劫持。

赶紧打开 regedit,定位到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 查看……等等,啥也没有啊,难道不是映像劫持吗?右击快捷方式看了一下属性,乖乖……这病毒把快捷方式的指向改了。正常的空档接龙的快捷方式指向应该是

C:\Windows\freecell.exe

现在变成了

C:\Windows\system32\vmware.exe "C:\Windows\freecell.exe"

这个意图已经很明显了,这是要让用户点击快捷方式的时候运行病毒,再通过病毒来打开正常的程序,现在病毒被清理了,自然会提示”找不到wmware.exe”了。

对付lnk文件,我也没啥办法,只好按下 Win+F,搜索 *.lnk ,一个一个改了。还好整个硬盘里 lnk 也不多,180 多个吧,再加上键盘键,不出 3 分钟也改好了。

我写这篇文章是为了以后有人碰到类似的问题能通过搜索引擎找到解决方案。下面提供一下键盘快捷键:(在搜索结果页面)

Down
Alt+Enter
Home
Del(连续按到前面的路径消失)
Enter
(循环做)

如果有按键精灵或者是 AHK,那自然更好了,但如果 lnk 数量不多的,用这些的快捷键也一会儿就完成了。

评论页