如何修复被劫持、篡改的IE主页

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

如何修复被劫持、篡改的IE主页

鉴于一些人,可能不愿意看完全文,写个内容提要在前面,给一些懒人看,另外,你们到底哪

看不懂,能说说不?我尽量改得通俗一点,或作一些解释,别放弃,如果用什么软件一键搞定,

这问题就不会如此泛滥了,但总有希望,搞清楚规律就能解决:

篡改、劫持IE主页的方法与解决:

1、2、修改注册表,强制访问,可通过在注册表中搜索网址的的方法修复

3、在浏览器快捷方式的属性中添加网址,删除添加部分

4、病毒、木马,通过各种启动项、插件加载,防比杀容易

5、右键菜单加载,也在注册表中

6、软件捆绑,卸载软件再修复

7、修改HOSTS,不常见

总结,推荐注册表搜索法与工具修复法(如360),可选的是HOSTS屏蔽法。

下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法,如果你遇到的不在其中,欢迎补充与指正。

1、最简单的直接修改,通过注册表

(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main中的“start page”)修改IE的主页设置,也就是IE的internet选项中的主页(IE菜单中的“工具”-internet选项-常规-主页)。为了不让用户修复,往往会采取措施禁止主页修改,也就是主页那里是灰色的,无法改变主页的值,一般通过组策略达到此目的(其实也就是注册表中设置),因为这招已经用老了,所以修复的方法网上都能查得到,各种IE修复工具也能做到,以至于现在采用这种方法的人也少了,真没什么好多说的。

2、通过IE的命令形式,也是修改注册表,会在正常的值后面添加强制访问的网址链接,如:

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-

08002B30309D}\shell\OpenHomePage\Command(正常值:C:\Program Files\Internet Explorer\IEXPLORE.EXE)

HKEY_CLASSES_ROOT\http\shell\open\command(主页设为空白页时的正常值:"C:\Program Files\Internet Explorer\IEXPLORE.EXE"-nohome)

此时即使在IE的主页设置中仍然是about:blank(空白页)或其它网址,打开IE也会被上面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上两个地方外注册表其余的位置被篡改的可能,一般的建议方法是用篡改的网址作关键字搜索全部注册表(开始-运行-regedit,打开注册表编辑器,编辑-查找,在查找目标上输入网址,为提高命中率,可以不加“http://”,甚至不要“www.”,如果有的话),注意,如果真的搜索到了,不是一刀全删,比如上面,如果你找到HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command中有你要找的恶意网址,不是把整个command全干掉,只要把网址部分删除就可以了,比如command的值是“C:\Program Files\Internet Explorer\IEXPLORE.EXE ”,把后面的“”删除就可以了,因为我们要做是恢复原状。如果你不知道原来是什么,可以去正常的电脑上对照一下相同位置的值是什么,如果别人那里不存在这个项目,你才可以删除,尽管如此,仍然建议你在操作注册表前备份整个注册表,误操作了别怪我没提醒你。

如果在修改时系统提示你没有权限(有可能),你可以右击要修改的注册表项目(在左边的)-权限-看看有没有“完全控制”权限,没有就加上去,再做修改。如果你发现连注册表也进不了,这种情况你可以用网上解锁注册表的方法或者用工具软件(比如SREng)来解锁。如果注册表解锁后又锁上了,或者你修改完注册表后又被改回去,说明你的电脑上还有恶意程序在实时监控,这时情况就升级了,可以叫它病毒,这个后面再说。还一点,就是你看到的网址可能不是出现在注册表中的网址,域名可以转发的,比如可以转发到上,而且最终显示在地址栏上的网址就是,而不显示,但这个则是显示在你注册表中的地址,而不会有,这个就要费点劲了,要么你的眼要快,看清在最终转发网址显示前显示的地址是什么,或者在注册表中找“.com”或“.cn”(都有可能),然后再从中鉴别(别找到就删,因为这样找范围就大了,“.com”还可能是文件的后缀名,这个可不是网址,我只是举例,而不是真的一定去找.com与.cn)。

另外还有一种可能,就是网址加密或转换,这样你在注册表中搜索劫持网址的关键字,就可能找不到,因此要会变通,既然都是通过ie调用,就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet Explorer”,再或者把它们结合起来搜索,然后再检查其中的键值是否有可疑项,如上面说的command或open之类的值中有没有疑似网址的东西,将其删除,或者对照其它电脑的注册表,将可能是新增的、非系统原有的注册表项整个删除,就是你找到的可疑确认项“iexplore.exe”或“Internet Explorer”的上级。继续提醒,删除任何注册表项前请注意备份。

这种搜索注册表的方法也适用于第1种情况。

3、浏览器快捷方式的属性也是重点地区,而且容易被忽略。以IE为例,它的快捷方式可能位于桌面(注意我指的是快捷方式,就是图标左下角带有小箭头的那种,当然也可能不带小

箭头)和快捷启动栏(开始菜单按钮的右边),右击IE的快捷方式图标-属性,转到“快捷方式”页,检查“目标”一栏,正常情况下这里是只有ie程序名,而不会带有任何网址,如果此处出现了某个网站地址,基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址,只要你双击修改过的IE快捷方式打开浏览器,出现的只会是快捷方式属性中网址。

解决方法:去掉快捷方式属性的目标中的网站地址,或者直接删除快捷方式,重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改,不要遗漏。如果遇到删除后又被加上网址的现象,同上面说的一样,有木马病毒进程在监控。

4、正如上面说的,如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为,修复就不那么容易。要找出它们,应注意各种启动项和加载项上,如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前,我们要做的就是清除这些恶意程序(或直接叫它们木马、病毒),由于此类项目变种很多,所以不一定是杀毒软件以及所谓专杀木马的软件(题外话,其实杀木马与杀毒并不必严格划分,所谓专杀木马并不见得比杀毒软件强多少)所能发现与清除的,虽然还是规律可寻的,比如发现的启动项并不是自己所安装的应用程序、也不是系统文件,自然就有嫌疑;再如有的IE插件,它引用的文件名是有8位以上的字母随机重合成的,明显不象好人(如果病毒、木马都这么明显就好了,可惜……)。

如果你对电脑熟悉可以尝试手动查杀,如果不是太熟,可借助360、windows清理助手等工具,当然也包括杀毒软件来清理,这就不多说了,涉及手动杀毒,难度有点大了。

但杀虽然困难,防却可以简单,一些主动防御或带主动防御的杀毒软件、HIPS等都能对安装插件或添加服务、驱动进行监控并提示用户,狠一点的干脆就直接禁止了(此举可能导致某些正常的应用软件无法安装和运行,包括安全工具)。如何判断是否放行,就要看你是否正在装或运行软件,前提是你知道你在装与在用的软件是正常的,没有搭配木马或病毒;还有关于插件的安装,如无必要,一般不要安装什么插件,特别在某些陌生的网站上的插件尽量不要装,除非你确切知道它是干什么的,如支付宝、网银等。没有一劳永逸的方法,要学会自己判断分析。

5、除了上面说到的加载方法,还有一个位置,就是右键菜单,曾经从360论坛那里看到的一个右键菜单加载的例子,这个注册表的位置是SREng日志扫描不出来,而用狙剑却可以扫出来。我也不相信右键菜单能够加载dll文件,但是后来在电脑报论坛发现一个右键菜单加载错误导致explorer.exe关闭的求助,才发现这个右键菜单不简单。不过具体原因还是不大明白,谁知道的或有空的试验下。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers

6、软件捆绑,这是那些劫持、篡改“IE主页”的各种方法中无奈的一种,软件作者们为了收

相关文档
最新文档