NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 病毒安全 .: 修复被劫持、篡改的IE主页

修复被劫持、篡改的IE主页

1、最简单的直接修改,通过注册表(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main中的“start page”)修改IE的主页设置,也就是IE的internet选项中的主页(IE菜单中的“工具”-internet选项-常规-主页)。为了不让用户修复,往往会采取措施禁止主页修改,也就是主页那里是灰色的,无法改变主页的值,一般通过组策略达到此目的(其实也就是注册表中设置),因为这招已经用老了,所以修复的方法网上都能查得到,各种IE修复工具也能做到,以至于现在采用这种方法的人也少了,真没什么好多说的。补充:还有一种对注册表的锁定,是通过对注册表项的权限进行修改实现的,取消用户包括管理员及系统对某个注册表项的“完全控制权”达到无法修改或删除该项的目的,所以修复前需要右击待修改或待删除的注册表项,进入“权限”中恢复控制权限(勾选“完全控制”),然后就可以无限制的操作了。 2、通过IE的命令形式,也是修改注册表,会在正常的值后面添加强制访问的网址链接,如:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command(正常值:C:\Program Files\Internet Explorer\IEXPLORE.EXE) HKEY_CLASSES_ROOT\http\shell\open\command(主页设为空白页时的正常值:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome) 此时即使在IE的主页设置中仍然是about:blank(空白页)或其它网址,打开IE也会被上面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上两个地方外注册表其余的位置被篡改的可能,一般的建议方法是用篡改的网址作关键字搜索全部注册表(开始-运行-regedit,打开注册表编辑器,编辑-查找,在查找目标上输入网址,为提高命中率,可以不加“http://”,甚至不要“www.”,如果有的话),注意,如果真的搜索到了,不是一刀全删,比如上面,如果你找到HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command中有你要找的恶意网址,不是把整个command全干掉,只要把网址部分删除就可以了,比如command的值是“C:\Program Files\Internet Explorer\IEXPLORE.EXE www.abc.com”,把后面的“www.abc.com”删除就可以了,因为我们要做是恢复原状。如果你不知道原来是什么,可以去正常的电脑上对照一下相同位置的值是什么,如果别人那里不存在这个项目,你才可以删除,尽管如此,仍然建议你在操作注册表前备份整个注册表,误操作了别怪我没提醒你。   如果在修改时系统提示你没有权限(有可能),你可以右击要修改的注册表项目(在左边的)-权限-看看有没有“完全控制”权限,没有就加上去,再做修改。如果你发现连注册表也进不了,这种情况你可以用网上解锁注册表的方法或者用工具软件(比如SREng)来解锁。如果注册表解锁后又锁上了,或者你修改完注册表后又被改回去,说明你的电脑上还有恶意程序在实时监控,这时情况就升级了,可以叫它病毒,这个后面再说。还一点,就是你看到的网址可能不是出现在注册表中的网址,域名可以转发的,比如www.abc.com可以转发到www.def.com上,而且最终显示在地址栏上的网址就是www.def.com,而不显示www.abc.com,但这个www.abc.com则是显示在你注册表中的地址,而不会有www.def.com,这个就要费点劲了,要么你的眼要快,看清在最终转发网址显示前显示的地址是什么,或者在注册表中找“.com”或“.cn”(都有可能),然后再从中鉴别(别找到就删,因为这样找范围就大了,“.com”还可能是文件的后缀名,这个可不是网址,我只是举例,而不是真的一定去找.com与.cn)。   另外还有一种可能,就是网址加密或转换,这样你在注册表中搜索劫持网址的关键字,就可能找不到,因此要会变通,既然都是通过ie调用,就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet Explorer”,再或者把它们结合起来搜索,然后再检查其中的键值是否有可疑项,如上面说的command或open之类的值中有没有疑似网址的东西,将其删除,或者对照其它电脑的注册表,将可能是新增的、非系统原有的注册表项整个删除,就是你找到的可疑确认项“iexplore.exe”或“Internet Explorer”的上级。继续提醒,删除任何注册表项前请注意备份。   这种搜索注册表的方法也适用于第1种情况。 3、浏览器快捷方式的属性也是重点地区,而且容易被忽略。以IE为例,它的快捷方式可能位于桌面(注意我指的是快捷方式,就是图标左下角带有小箭头的那种,当然也可能不带小箭头)和快捷启动栏(开始菜单按钮的右边),右击IE的快捷方式图标-属性,转到“快捷方式”页,检查“目标”一栏,正常情况下这里是只有ie程序名,而不会带有任何网址,如果此处出现了某个网站地址,基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址,只要你双击修改过的IE快捷方式打开浏览器,出现的只会是快捷方式属性中网址。   解决方法:去掉快捷方式属性的目标中的网站地址,或者直接删除快捷方式,重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改,不要遗漏。如果遇到删除后又被加上网址的现象,同上面说的一样,有木马病毒进程在监控。 4、正如上面说的,如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为,修复就不那么容易。要找出它们,应注意各种启动项和加载项上,如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前,我们要做的就是清除这些恶意程序(或直接叫它们木马、病毒),由于此类项目变种很多,所以不一定是杀毒软件以及所谓专杀木马的软件(题外话,其实杀木马与杀毒并不必严格划分,所谓专杀木马并不见得比杀毒软件强多少)所能发现与清除的,虽然还是规律可寻的,比如发现的启动项并不是自己所安装的应用程序、也不是系统文件,自然就有嫌疑;再如有的IE插件,它引用的文件名是有8位以上的字母随机重合成的,明显不象好人(如果病毒、木马都这么明显就好了,可惜……)。   如果你对电脑熟悉可以尝试手动查杀,如果不是太熟,可借助360、windows清理助手等工具,当然也包括杀毒软件来清理,这就不多说了,涉及手动杀毒,难度有点大了。   但杀虽然困难,防却可以简单,一些主动防御或带主动防御的杀毒软件、HIPS等都能对安装插件或添加服务、驱动进行监控并提示用户,狠一点的干脆就直接禁止了(此举可能导致某些正常的应用软件无法安装和运行,包括安全工具)。如何判断是否放行,就要看你是否正在装或运行软件,前提是你知道你在装与在用的软件是正常的,没有搭配木马或病毒;还有关于插件的安装,如无必要,一般不要安装什么插件,特别在某些陌生的网站上的插件尽量不要装,除非你确切知道它是干什么的,如支付宝、网银等。

这篇文章对你多有用?

相关文章

article 最近最流氓的修改IE主页方法
大家基本上都遇到过IE主页被恶意软件修改的经历。...

(No rating)  3-2-2010    Views: 902   
article 恢复被修改的IE主页
大家基本上都遇到过IE主页被恶意软件修改的经历。...

(No rating)  2-29-2012    Views: 773   
article 修复被恶意修改的IE主页
IE

(No rating)  11-30-2010    Views: 983   

用户评语

当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited