如何修复被劫持、篡改的IE主页 - 病毒与安全 - 电脑报官方论坛 - ie主页篡改修复工具
鉴于一些人,可能不愿意看完全文,写个内容提要在前面,给一些懒人看,另外,你们到底哪看不懂,能说说不?我尽量改得通俗一点,或作一些解释,别放弃,如果用什么软件一键搞定,这问题就不会如此泛滥了,但总有希望,搞清楚规律就能解决:
篡改、劫持IE主页的方法与解决:
1、2、修改注册表,强制访问,可通过在注册表中搜索网址的的方法修复
3、在浏览器快捷方式的属性中添加网址,删除添加部分
4、病毒、木马,通过各种启动项、插件加载,防比杀容易
5、右键菜单加载,也在注册表中
6、软件捆绑,卸载软件再修复
7、修改HOSTS,不常见
总结,推荐注册表搜索法与工具修复法(如360),可选的是HOSTS屏蔽法。
下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法,如果你遇到的不在其中,欢迎补充与指正。
1、最简单的直接修改,通过注册表(HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain中的“start page”)修改IE的主页设置,也就是IE的internet选项中的主页(IE菜单中的“工具”-internet选项-常规-主页)。为了不让用户修复,往往会采取措施禁止主页修改,也就是主页那里是灰色的,无法改变主页的值,一般通过组策略达到此目的(其实也就是注册表中设置),因为这招已经用老了,所以修复的方法网上都能查得到,各种IE修复工具也能做到,以至于现在采用这种方法的人也少了,真没什么好多说的。
补充:还有一种对注册表的锁定,是通过对注册表项的权限进行修改实现的,取消用户包括管理员及系统对某个注册表项的“完全控制权”达到无法修改或删除该项的目的,所以修复前需要右击待修改或待删除的注册表项,进入“权限”中恢复控制权限(勾选“完全控制”),然后就可以无限制的操作了。
2、通过IE的命令形式,也是修改注册表,会在正常的值后面添加强制访问的网址链接,如:
HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand(正常值:C:Program FilesInternet ExplorerIEXPLORE.EXE)
HKEY_CLASSES_ROOThttpshellopencommand(主页设为空白页时的正常值:"C:Program FilesInternet ExplorerIEXPLORE.EXE" -nohome)
此时即使在IE的主页设置中仍然是about:blank(空白页)或其它网址,打开IE也会被上面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上两个地方外注册表其余的位置被篡改的可能,一般的建议方法是用篡改的网址作关键字搜索全部注册表(开始-运行-regedit,打开注册表编辑器,编辑-查找,在查找目标上输入网址,为提高命中率,可以不加“http://”,甚至不要“www.”,如果有的话),注意,如果真的搜索到了,不是一刀全删,比如上面,如果你找到HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand中有你要找的恶意网址,不是把整个command全干掉,只要把网址部分删除就可以了,比如command的值是“C:Program FilesInternet ExplorerIEXPLORE.EXE www.abc.com”,把后面的“www.abc.com”删除就可以了,因为我们要做是恢复原状。如果你不知道原来是什么,可以去正常的电脑上对照一下相同位置的值是什么,如果别人那里不存在这个项目,你才可以删除,尽管如此,仍然建议你在操作注册表前备份整个注册表,误操作了别怪我没提醒你。
如果在修改时系统提示你没有权限(有可能),你可以右击要修改的注册表项目(在左边的)-权限-看看有没有“完全控制”权限,没有就加上去,再做修改。如果你发现连注册表也进不了,这种情况你可以用网上解锁注册表的方法或者用工具软件(比如SREng)来解锁。如果注册表解锁后又锁上了,或者你修改完注册表后又被改回去,说明你的电脑上还有恶意程序在实时监控,这时情况就升级了,可以叫它病毒,这个后面再说。还一点,就是你看到的网址可能不是出现在注册表中的网址,域名可以转发的,比如www.abc.com可以转发到www.def.com上,而且最终显示在地址栏上的网址就是www.def.com,而不显示www.abc.com,但这个www.abc.com则是显示在你注册表中的地址,而不会有www.def.com,这个就要费点劲了,要么你的眼要快,看清在最终转发网址显示前显示的地址是什么,或者在注册表中找“.com”或“.cn”(都有可能),然后再从中鉴别(别找到就删,因为这样找范围就大了,“.com”还可能是文件的后缀名,这个可不是网址,我只是举例,而不是真的一定去找.com与.cn)。
另外还有一种可能,就是网址加密或转换,这样你在注册表中搜索劫持网址的关键字,就可能找不到,因此要会变通,既然都是通过ie调用,就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet Explorer”,再或者把它们结合起来搜索,然后再检查其中的键值是否有可疑项,如上面说的command或open之类的值中有没有疑似网址的东西,将其删除,或者对照其它电脑的注册表,将可能是新增的、非系统原有的注册表项整个删除,就是你找到的可疑确认项“iexplore.exe”或“Internet Explorer”的上级。继续提醒,删除任何注册表项前请注意备份。
这种搜索注册表的方法也适用于第1种情况。
3、浏览器快捷方式的属性也是重点地区,而且容易被忽略。以IE为例,它的快捷方式可能位于桌面(注意我指的是快捷方式,就是图标左下角带有小箭头的那种,当然也可能不带小箭头)和快捷启动栏(开始菜单按钮的右边),右击IE的快捷方式图标-属性,转到“快捷方式”页,检查“目标”一栏,正常情况下这里是只有ie程序名,而不会带有任何网址,如果此处出现了某个网站地址,基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址,只要你双击修改过的IE快捷方式打开浏览器,出现的只会是快捷方式属性中网址。
解决方法:去掉快捷方式属性的目标中的网站地址,或者直接删除快捷方式,重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改,不要遗漏。如果遇到删除后又被加上网址的现象,同上面说的一样,有木马病毒进程在监控。
4、正如上面说的,如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为,修复就不那么容易。要找出它们,应注意各种启动项和加载项上,如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前,我们要做的就是清除这些恶意程序(或直接叫它们木马、病毒),由于此类项目变种很多,所以不一定是杀毒软件以及所谓专杀木马的软件(题外话,其实杀木马与杀毒并不必严格划分,所谓专杀木马并不见得比杀毒软件强多少)所能发现与清除的,虽然还是规律可寻的,比如发现的启动项并不是自己所安装的应用程序、也不是系统文件,自然就有嫌疑;再如有的IE插件,它引用的文件名是有8位以上的字母随机重合成的,明显不象好人(如果病毒、木马都这么明显就好了,可惜……)。
如果你对电脑熟悉可以尝试手动查杀,如果不是太熟,可借助360、windows清理助手等工具,当然也包括杀毒软件来清理,这就不多说了,涉及手动杀毒,难度有点大了。
但杀虽然困难,防却可以简单,一些主动防御或带主动防御的杀毒软件、HIPS等都能对安装插件或添加服务、驱动进行监控并提示用户,狠一点的干脆就直接禁止了(此举可能导致某些正常的应用软件无法安装和运行,包括安全工具)。如何判断是否放行,就要看你是否正在装或运行软件,前提是你知道你在装与在用的软件是正常的,没有搭配木马或病毒;还有关于插件的安装,如无必要,一般不要安装什么插件,特别在某些陌生的网站上的插件尽量不要装,除非你确切知道它是干什么的,如支付宝、网银等。没有一劳永逸的方法,要学会自己判断分析。
如遇此种情况,且使用360、windows清理助手及各种杀毒软件修复仍无效,需要在数动论坛病毒版进行求助者,请下载SREng扫描日志贴上来(如日志在帖中不能正常显示,可以传附件或重新编辑原帖去掉日志开头的“code”,除此外请保持日志内容完整),SREng下载及扫描方法见下方红色链接
5、除了上面说到的加载方法,还有一个位置,就是右键菜单,曾经从360论坛那里看到的一个右键菜单加载的例子,这个注册表的位置是SREng日志扫描不出来,而用狙剑却可以扫出来。我也不相信右键菜单能够加载dll文件,但是后来在电脑报论坛发现一个右键菜单加载错误导致explorer.exe关闭的求助,才发现这个右键菜单不简单。不过具体原因还是不大明白,谁知道的或有空的试验下。
HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellexContextMenuHandlers
HKEY_LOCAL_MACHINESOFTWAREClassesFoldershellexContextMenuHandlers
HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellexContextMenuHandlers
6、软件捆绑,这是那些劫持、篡改“IE主页”的各种方法中无奈的一种,软件作者们为了收益捆绑了某网站,要用他们的软件就要打开该网站或设其为主页。对共享软件作者与推广网站而言是双赢,对用户则是两难,要用软件、要玩游戏吧,又得忍受不请自来的网站霸占IE;想保持IE的纯净,又用不了软件或游戏。对此,建议软件、补丁作者给予用户选择权,不要每次使用都改IE,或注明捆绑,让用户知道、选择,也省得不明真相的用户以为中毒了,到处求助。给安全论坛添加麻烦。对于用户如果发现IE被改,想想最近是否是下载或使用了什么软件、游戏,卸载它们或卸载后再修复看看能不能恢复原来的IE状态,而在下载与安装软件时也要看清楚说明再点下一步。当然这是废话,这里说了也是白说,当我做梦好了。
7、修改HOSTS,一般用于拦截访问网站,但也可以用于控制访问的转向,不过似乎这个情况并不常见,如果真的HOSTS被修改,可以手动修复,HOSTS位于c:windowssystem32driversetc默认该文件中只有一句:“127.0.0.1local”,注意开头带“#”的表示这一行是注释行,不起作用。如果你使用了360或电脑报的反黑榜之类的HOSTS文件,自然内容与上述的不同,请注意区别。另外某些工具也有重置与恢复HOSTS的功能,如SREng。不多说了,这个确实不常见,而且也是杀毒软件与各工具重点盯防的地方,正常操作也会报警,一般比较安全。
总结,差不多就这些了,如果你有新鲜的可以补充。总之,没有人会喜欢被人绑架电脑、强迫访问不愿意去的网站,当然如果你真的在强迫中喜欢上了那个网站,从而真的愿意把它当作主页,那也没办法。如果不喜欢就自己动手修复吧,注册表搜索法和工具(如360、兔子、金山清理专家、黄山IE修复等)修复法是我推荐的,如果暂时没法搞定这些恶意网站,可以把它们的网址(可不带“http://”部分)添加入HOSTS文件中,指向127.0.0.1,如“127.0.0.1www.abc.com”(不包括引号,单独占一行),这样访问该网站时会自动转到127.0.0.1这个打不开的地址,避免让恶意网站赚流量,也避免进一步的网络风险。
附:苹果工具条及其捆绑的365j.com调查
(寻宝大行动:数动连线金秋“五重大礼”回馈会员 下载 (32.62 KB)
2010-9-21 14:59
,活动详情http://bbs.icpcw.com/viewthread.php?tid=1997586
2
评分人数
更多阅读
如何兑换美元,人民币如何兑换美金 美金兑换人民币的汇率
如何兑换美元,人民币如何兑换美金——简介怎样用人民币兑换美元?下面小编就来告诉你一些关于兑换美元或其它外币的一些注意事情和兑换方法,希望能帮到有这方面问题的朋友们如何兑换美元,人民币如何兑换美金——方法/步骤如何兑换美
为什么我的电脑桌面图标有阴影?如何修复呢! 电脑桌面图标出现阴影
为什么我的电脑桌面图标有阴影?如何修复呢!——简介电脑桌面上的图标有阴影怎么办,怎么解决电脑桌面的图标阴影呢!桌面图标有阴影这也是使用电脑过程中常见的一种小故障,有时候是我们操作不当、或者电脑中了病读,修复桌面图标阴影的方法也
教你如何禁用U盘、屏蔽USB端口的三种方法 游戏端口被屏蔽
在企业里面,有时候我们处于电脑自身安全、商业机密保护的需要,常常要禁用电脑USB接口,尤其是禁用带有USB存储功能的设备,如U盘、移动硬盘和手机存储卡等,但同时又不能完全屏蔽USB接口的使用,因为现在很多的鼠标和键盘都是USB端口。这种情
如何在注册表中彻底锁定IE浏览器的的主页? 注册表改浏览器主页
如何在注册表中彻底锁定IE浏览器的的主页?——简介 也许有人遇到过,打开IE浏览器发现不是自己设置的主页,于是就去改主页设置,可以无论怎么修改都不行,让人头疼发蒙。这是因为一些恶意软件或木马在注册表中修改了主页的设置,导致无法使用
如何找回被删除的文件 微信聊天记录恢复软件
如何找回被删除的文件——简介实现文件恢复的方法很多,在此小编给大家介绍一款基于Windows的文件恢复软件。那就是“免费文件恢复Recuva”,该应用能恢复任意格式的文件,只要该文件没有被覆盖就可以。下面是具体的操作方法。如何找回