如何修复被劫持、篡改的IE主页

如何修复被劫持、篡改的IE主页

如果你不想看完全文、又急于解决问题，推荐使用金山急救箱（金山网盾）或其它工具修复鉴于一些人，可能不愿意看完全文，写个内容提要在前面，给一些懒人看，另外，你们到底哪看不懂，能说说不？我尽量改得通俗一点，或作一些解释，别放弃，如果用什么软件一键搞定，这问题就不会如此泛滥了，但总有希望，搞清楚规律就能解决：

篡改、劫持IE主页的方法与解决：

1、2、修改注册表，强制访问，可通过在注册表中搜索网址的的方法修复

3、在浏览器快捷方式的属性中添加网址，删除添加部分

4、病毒、木马，通过各种启动项、插件加载，防比杀容易

5、右键菜单加载，也在注册表中

6、软件捆绑，卸载软件再修复

7、修改HOSTS，不常见

总结，推荐注册表搜索法与工具修复法（如360），可选的是HOSTS屏蔽法。

下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法，如果你遇到的不在其中，

欢迎补充与指正。

1、最简单的直接修改，通过注册表（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main中的“start page”）修改IE的主页设置，也就是IE的internet选项中的主页（IE菜单中的“工具”－internet选项－常规－主页）。为了不让用户修复，往往会采取措施禁止主页修改，也就是主页那里是灰色的，无法改变主页的值，一般通过组策略达到此目的（其实也就是注册表中设置），因为这招已经用老了，所以修复的方法网上都能查得到，各种IE修复工具也能做到，以至于现在采用这种方法的人也少了，真没什么好多

说的。

补充：还有一种对注册表的锁定，是通过对注册表项的权限进行修改实现的，取消用户包括管理员及系统对某个注册表项的“完全控制权”达到无法修改或删除该项的目的，所以修复

前需要右击待修改或待删除的注册表项，进入“权限”中恢复控制权限（勾选“完全控

制”），然后就可以无限制的操作了。

2、通过IE的命令形式，也是修改注册表，会在正常的值后面添加强制访问的网址链接，如：

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePa ge\Command（正常值：C:\Program Files\Internet Explorer\IEXPLORE.EXE）

HKEY_CLASSES_ROOT\http\shell\open\command（主页设为空白页时的正常值：

"C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome）

此时即使在IE的主页设置中仍然是about:blank（空白页）或其它网址，打开IE也会被上面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上两个地方外注册表其余的位置被篡改的可能，一般的建议方法是用篡改的网址作关键字搜索全部注册表（开始－运行－regedit，打开注册表编辑器，编辑－查找，在查找目标上输入网址，为提高命中率，可以不加“http://”，甚至不要“www.”，如果有的话），注意，如果真的搜索到了，不是一刀全删，比如上面，如果你找到

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePa ge\Command中有你要找的恶意网址，不是把整个command全干掉，只要把网址部分删除就可以了，比如command的值是“C:\Program Files\Internet Explorer\IEXPLORE.EXE ”，把后面的“”删除就可以了，因为我们要做是恢复原状。如果你不知道原来是什么，可以去正常的电脑上对照一下相同位置的值是什么，如果别人那里不存在这个项目，你才可以删除，尽管如此，仍然建议你在操作注册表前备份整个注册表，误

操作了别怪我没提醒你。

如果在修改时系统提示你没有权限（有可能），你可以右击要修改的注册表项目（在左边的）－权限－看看有没有“完全控制”权限，没有就加上去，再做修改。如果你发现连注册表也进不了，这种情况你可以用网上解锁注册表的方法或者用工具软件（比如SREng）来解锁。如果注册表解锁后又锁上了，或者你修改完注册表后又被改回去，说明你的电脑上还有恶意程序在实时监控，这时情况就升级了，可以叫它病毒，这个后面再说。还一点，就是你看到的网址可能不是出现在注册表中的网址，域名可以转发的，比如可以转发到上，而且最终显示在地址栏上的网址就是，而不显示，但这个则是显示在你注册表中的地址，而不会有，这个就要费点劲了，要么你的眼要快，看清在最终转发网址显示前显示的地址是什么，或者在注册表中找“.com”或“.cn”（都有可能），然后再从中鉴别（别找到就删，因为这样找范围就大了，“.com”还可能是文件的后缀名，这个可不是网址，我只是举例，而不是真

的一定去找.com与.cn）。

另外还有一种可能，就是网址加密或转换，这样你在注册表中搜索劫持网址的关键字，就可能找不到，因此要会变通，既然都是通过ie调用，就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet Explorer”，再或者把它们结合起来搜索，然后再检查其中的键值是否有可疑项，如上面说的command或open之类的值中有没有疑似网址的东西，将其删除，或者对照其它电脑的注册表，将可能是新增的、非系统原有的注册表项整个删除，就是你找到的可疑确认项“iexplore.exe”或“Internet Explorer”的上级。继续提醒，删除任何注册表项前请注意备份。

这种搜索注册表的方法也适用于第1种情况。

3、浏览器快捷方式的属性也是重点地区，而且容易被忽略。以IE为例，它的快捷方式可能位于桌面（注意我指的是快捷方式，就是图标左下角带有小箭头的那种，当然也可能不带小箭头）和快捷启动栏（开始菜单按钮的右边），右击IE的快捷方式图标－属性，转到“快捷方式”页，检查“目标”一栏，正常情况下这里是只有ie程序名，而不会带有任何网址，如果此处出现了某个网站地址，基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址，只要你双击修改过的IE快捷方式打开浏览

器，出现的只会是快捷方式属性中网址。

解决方法：去掉快捷方式属性的目标中的网站地址，或者直接删除快捷方式，重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改，不要遗漏。如果遇到删除后又被加上网址的现象，同上面说的一样，有木马病毒进程在监控。

4、正如上面说的，如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为，修复就不那么容易。要找出它们，应注意各种启动项和加载项上，如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前，我们要做的就是清除这些恶意程序（或直接叫它们木马、病毒），由于此类项目变种很多，所以不一定是杀毒软件以及所谓专杀木马的软件（题外话，其实杀木马与杀毒并不必严格划分，所谓专杀木马并不见得比杀毒软件强多少）所能发现与清除的，虽然还是规律可寻的，比如发现的启动项并不是自己所安装的应用程序、也不是系统文件，自然就有嫌疑；再如有的IE插件，它引用的文件名是有8位以上的字母随机重合成的，明显不象好人（如果病毒、木马都这么明显就

好了，可惜……）。

如果你对电脑熟悉可以尝试手动查杀，如果不是太熟，可借助360、windows清理助手等工具，当然也包括杀毒软件来清理，这就不多说了，涉及手动杀毒，难度有点大了。