今天站內(nèi)某網(wǎng)友找我，說自己的edge瀏覽器開機(jī)自動(dòng)彈出淘寶廣告，用我的軟件SoftCnKiller最新版更新黑名單后掃描處理也沒解決。

上圖可看出edge沒有擴(kuò)展，網(wǎng)友也說SoftCnKiller是最新版且更新過黑名單，但開機(jī)就是會(huì)彈出edge瀏覽器打開淘寶廣告頁面。

我以為是未收錄的流氓軟件，遠(yuǎn)程后發(fā)現(xiàn)，SoftCnKiller目錄沒有softcn.log等文件，說明沒發(fā)現(xiàn)有流氓軟件。

• 下載了Autoruns啟動(dòng)項(xiàng)管理工具，排查了一遍啟動(dòng)項(xiàng)，居然都是正常的？？？

• 瀏覽器edge的啟動(dòng)項(xiàng)參數(shù)正常，快捷方式也正常，沒網(wǎng)址尾巴。

• 也沒有explorer或cmd帶網(wǎng)址參數(shù)啟動(dòng)的，如果有SoftCnKiller應(yīng)該能檢查出可疑啟動(dòng)項(xiàng)。

• 設(shè)置，賬戶，登錄選項(xiàng)，重啟應(yīng)用是關(guān)閉的，如果開啟的話重啟后可能打開關(guān)閉前的瀏覽器。

在我看到Autoruns里的虎牙軟件通過StartUp文件夾開機(jī)啟動(dòng)時(shí)，試圖刪除這些可能彈廣告的啟動(dòng)項(xiàng)時(shí)，無意間發(fā)現(xiàn)了個(gè)FakeFolder病毒（否則就要參考我視頻用火絨自定義規(guī)則解決瀏覽器開機(jī)自動(dòng)打開訪問某某網(wǎng)站）：

Autoruns居然不能正常顯示StartUp里的exe啟動(dòng)項(xiàng)，只能顯示Lnk（vbs、bat、cmd都不顯示）?。?！還好我多看了一眼。

將這個(gè)樣本上傳Virustotal：

VT檢測結(jié)果里就顯示了該病毒有訪問前面說的淘寶廣告URL，這就是問題的根源，刪除這個(gè)病毒應(yīng)該就好了。

任務(wù)管理器結(jié)束這個(gè)病毒進(jìn)程，隔離備份，右擊隔離的文件用網(wǎng)友電腦上唯一的殺毒軟件聯(lián)想管家查殺，居然是報(bào)毒的？？？那為什么開著聯(lián)想管家沒殺掉病毒？

好吧，問題來源是網(wǎng)友自己作死雙擊打開了U盤里的FakeFolder病毒，還在殺毒軟件攔截時(shí)點(diǎn)了允許運(yùn)行。會(huì)出現(xiàn)這個(gè)問題是大部分人的電腦默認(rèn)隱藏已知文件擴(kuò)展名，否則看到xxx.exe的文件夾就不會(huì)雙擊打開了。

在病毒隱藏U盤的文件夾后應(yīng)該用attrib命令顯示隱藏文件夾，而不是信任并運(yùn)行病毒。如假設(shè)U盤盤符是K:，則管理員cmd執(zhí)行命令：attrib -s -h k:\* /d

最后用everything搜索*.exe，按大小排列，刪除文件夾圖標(biāo)的exe后再用上面說的attrib修復(fù)隱藏文件夾，重啟后恢復(fù)正常了，問題解決！