桌面的IE图标被挂广告网站如何修复？

同事的机器，XP系统，点击桌面上的IE图标，就自动打开一个www.lalamao.com（提醒：打开请慎重），但查看IE的首页设置，明明是about:blank。而直接点击“C:\Program Files\Internet Explorer\iexplore.exe”却没有问题。我仔细看了后台进程，没有发现可疑的进程。以前见过有的恶意代码将IE的快捷方式后面加一个URL参数，虽然没有改动主页设置，但打开也会自动打开相应的URL，但这个桌面上的IE图标确实是系统自建的（并不是一个快捷方式），无从修改快捷方式的参数。从网上搜索，有的说这个lalamao.com上的恶意程序替换了系统默认的IE图标（这个是假的），但我在桌面属性中的“自定义桌面”中可以控制桌面上这个IE图标的消失/显现，应该说这就是系统的默认IE图标无疑。

请教各位，这种情况下恶意代码到底修改了什么位置？应该如何修复？我猜测应该还是修改了注册表的某个位置，但却查不到。网上出主意要么就是安装360安全卫士修复，要么就是删除桌面的IE图标，然后新建一个IE的快捷方式，虽然这从形式上可以解决问题，但毕竟快捷方式不同于系统默认的IE图标，而且，我不想跟360沾边儿，最重要的是知其所以然。叫他们帮你搞

答案或建议：

我在注册表中搜索：lalamao，终于找到关键位置在这里：

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""

恶意代码修改了这个@项，在后面加上了恶意网站的URL。原理就很简单的了，系统桌面上默认的IE图标是一个控制对象，所以对应CLSID，而这个对象的默认操作就是“打开主页”（Open Homepage），也就是上面这个command所对应的操作。

另外，该病毒还修改了快捷启动栏的“启动Internet Explorer”快捷方式，在命令行后面加上了自己的URL作为参数。

转 载 请 保 留：http://www.baikewenda.com/h/1009/a56.html