开机浏览器自动打开淘宝广告页面？除了流氓软件还可能是FakeFolder病毒！

今天站内某网友找我，说自己的edge浏览器开机自动弹出淘宝广告，用我的软件SoftCnKiller最新版更新黑名单后扫描处理也没解决。

上图可看出edge没有扩展，网友也说SoftCnKiller是最新版且更新过黑名单，但开机就是会弹出edge浏览器打开淘宝广告页面。

我以为是未收录的流氓软件，远程后发现，SoftCnKiller目录没有softcn.log等文件，说明没发现有流氓软件。

• 下载了Autoruns启动项管理工具，排查了一遍启动项，居然都是正常的？？？

• 浏览器edge的启动项参数正常，快捷方式也正常，没网址尾巴。

• 也没有explorer或cmd带网址参数启动的，如果有SoftCnKiller应该能检查出可疑启动项。

• 设置，账户，登录选项，重启应用是关闭的，如果开启的话重启后可能打开关闭前的浏览器。

在我看到Autoruns里的虎牙软件通过StartUp文件夹开机启动时，试图删除这些可能弹广告的启动项时，无意间发现了个FakeFolder病毒（否则就要参考我视频用火绒自定义规则解决浏览器开机自动打开访问某某网站）：

Autoruns居然不能正常显示StartUp里的exe启动项，只能显示Lnk（vbs、bat、cmd都不显示）！！！还好我多看了一眼。

将这个样本上传Virustotal：

VT检测结果里就显示了该病毒有访问前面说的淘宝广告URL，这就是问题的根源，删除这个病毒应该就好了。

任务管理器结束这个病毒进程，隔离备份，右击隔离的文件用网友电脑上唯一的杀毒软件联想管家查杀，居然是报毒的？？？那为什么开着联想管家没杀掉病毒？

好吧，问题来源是网友自己作死双击打开了U盘里的FakeFolder病毒，还在杀毒软件拦截时点了允许运行。会出现这个问题是大部分人的电脑默认隐藏已知文件扩展名，否则看到xxx.exe的文件夹就不会双击打开了。

在病毒隐藏U盘的文件夹后应该用attrib命令显示隐藏文件夹，而不是信任并运行病毒。如假设U盘盘符是K:，则管理员cmd执行命令：attrib -s -h k:\* /d

最后用everything搜索*.exe，按大小排列，删除文件夹图标的exe后再用上面说的attrib修复隐藏文件夹，重启后恢复正常了，问题解决！