zoukankan      html  css  js  c++  java
  • 修复被劫持、篡改的IE主页

      很久不用IE9,今天打开IE,发现IE主页被修改了,于是我打开“Internet选项”,修改默认主页,再次点开,正常……

      后来,我偶然启动IE9,发现主页又被修改回来了,我很奇怪,于是再次重复上述操作,然后打开新选项卡,发现多打开几次后,主页又被修改了,于是乎修改注册表,但发现问题依旧,感觉就像后台有程序在监控我的操作一样,每当我打开IE9,它会自动将主页改之!

      我很愤怒,于是上网找其原理,倒是搜到一些资料,并且找相关解决办法,手动解决看起来很麻烦,得手动杀进程,不是不可以,就是烦躁啊!!!而且电脑软件装的太多,我也不是对所有进程都了然于胸,于是搜工具治疗法,唔,好像有很多种,比如用优化大师、360等,没用过效果我也不知道,最后选择了360……因为我同时下这些软件的时候,360的最先下载完成,我自然就用它来完成操作了

      最终结果:360似乎效果还不错,将需要修改的都改回去了!下载地址:http://www.360.cn/jijiuxiang/index.html

    //--------------------------------分割线------下面是我搜到的资料,觉得比较科普-------------------

      原文地址:http://www.stormcn.cn/post/407.html

      

      下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法,如果你遇到的不在其中,欢迎补充与指正。(本文首发于电脑报论坛病毒版,此处为终稿)

      1、最简单的直接修改

      通过注册表(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main中的“start page”)修改IE的主页设置,也就是IE的internet选项中的主页(IE菜单中的“工具”-internet选项-常规-主页)。为了不让用户修复,往往会采取措施禁止主页修改,也就是主页那里是灰色的,无法改变主页的值,一般通过组策略达到此目的(其实也就是注册表中设置),因为这招已经用老了,所以修复的方法网上都能查得到,各种IE修复工具也能做到,以至于现在采用这种方法的人也少了,真没什么好多说的。

    补充:还有一种对注册表的锁定,是通过对注册表项的权限进行修改实现的,取消用户包括管理员及系统对某个注册表项的“完全控制权”达到无法修改或删除该项的目的,所以修复前需要右击待修改或待删除的注册表项,进入“权限”中恢复控制权限(勾选“完全控制”),然后就可以无限制的操作了。

      2、通过IE的命令形式

      也是修改注册表,会在正常的值后面添加强制访问的网址链接(如go2000),如:

    HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command(正常值:C:\Program Files\Internet Explorer\IEXPLORE.EXE)

    HKEY_CLASSES_ROOT\http\shell\open\command(主页设为空白页时的正常值:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome)

    此时即使在IE的主页设置中仍然是about:blank(空白页)或其它网址,打开IE也会被上面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上两个地方外注册表其余的位置被篡改的可能,一般的建议方法是用篡改的网址作关键字搜索全部注册表(开始-运行-regedit,打开注册表编辑器,编辑-查找,在查找目标上输入网址,为提高命中率,可以不加“http://”,甚至不要“www.”,如果有的话),注意,如果真的搜索到了,不是一刀全删,比如上面,如果你找到HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command中有你要找的恶意网址,不是把整个command全干掉,只要把网址部分删除就可以了,比如command的值是“C:\Program Files\Internet Explorer\IEXPLORE.EXE www.abc.com”,把后面的“www.abc.com”删除就可以了,因为我们要做是恢复原状。如果你不知道原来是什么,可以去正常的电脑上对照一下相同位置的值是什么,如果别人那里不存在这个项目,你才可以删除,尽管如此,仍然建议你在操作注册表前备份整个注册表,误操作了别怪我没提醒你。

      如果在修改时系统提示你没有权限(有可能),你可以右击要修改的注册表项目(在左边的)-权限-看看有没有“完全控制”权限,没有就加上去,再做修改。如果你发现连注册表也进不了,这种情况你可以用网上解锁注册表的方法或者用工具软件(比如SREng)来解锁。如果注册表解锁后又锁上了,或者你修改完注册表后又被改回去,说明你的电脑上还有恶意程序在实时监控,这时情况就升级了,可以叫它病毒,这个后面再说。还一点,就是你看到的网址可能不是出现在注册表中的网址,域名可以转发的,比如www.abc.com可以转发到www.def.com上,而且最终显示在地址栏上的网址就是www.def.com,而不显示www.abc.com,但这个www.abc.com则是显示在你注册表中的地址,而不会有www.def.com,这个就要费点劲了,要么你的眼要快,看清在最终转发网址显示前显示的地址是什么,或者在注册表中找“.com”或“.cn”(都有可能),然后再从中鉴别(别找到就删,因为这样找范围就大了,“.com”还可能是文件的后缀名,这个可不是网址,我只是举例,而不是真的一定去找.com与.cn)。

      另外还有一种可能,就是网址加密或转换,这样你在注册表中搜索劫持网址的关键字,就可能找不到,因此要会变通,既然都是通过ie调用,就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet Explorer”,再或者把它们结合起来搜索,然后再检查其中的键值是否有可疑项,如上面说的command或open之类的值中有没有疑似网址的东西,将其删除,或者对照其它电脑的注册表,将可能是新增的、非系统原有的注册表项整个删除,就是你找到的可疑确认项“iexplore.exe”或“Internet Explorer”的上级。继续提醒,删除任何注册表项前请注意备份。

      这种搜索注册表的方法也适用于第1种情况。

      补充:另有一种实际也是通过修改注册表形成仿IE桌面图标的方法可参见“苹果工具条”的调查篇继续篇

      3、浏览器快捷方式的属性也是此类问题的重点区域

      而且容易被忽略(如365j)。以IE为例,它的快捷方式可能位于桌面(注意通常指的是快捷方式,就是图标左下角带有小箭头的那种,也可能不带箭头,这种图标的创建与修改在注册表中是可以实现的,还可能不允许删除,因此需要用上面的搜索注册表法,在注册表中寻找网址或IE程序名的关键字)和快捷启动栏(开始菜单按钮的右边),右击IE的快捷方式图标-属性,转到“快捷方式”页,检查“目标”一栏,正常情况下这里是只有ie程序名,而不会带有任何网址,如果此处出现了某个网站地址,基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址,只要你双击修改过的IE快捷方式打开浏览器,出现的只会是快捷方式属性中网址。

      解决方法:去掉快捷方式属性的目标中的网站地址,或者直接删除快捷方式,重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改,不要遗漏。如果遇到删除后又被加上网址的现象或整个快捷方式不让你删除,同上面说的一样,可能有木马病毒进程在监控。

      4、正如上面说的,如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为,修复就不那么容易(此类如web6699、6700)。

      要找出它们,应注意各种启动项和加载项上,如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前,我们要做的就是清除这些恶意程序(或直接叫它们木马、病毒),由于此类项目变种很多,所以不一定是杀毒软件以及所谓专杀木马的软件(题外话,其实杀木马与杀毒并不必严格划分,所谓专杀木马并不见得比杀毒软件强多少)所能发现与清除的,虽然还是规律可寻的,比如发现的启动项并不是自己所安装的应用程序、也不是系统文件,自然就有嫌疑;再如有的IE插件,它引用的文件名是有8位以上的字母随机重合成的,明显不象好人(如果病毒、木马都这么明显就好了,可惜……)。

      如果你对电脑熟悉可以尝试手动查杀,如果不是太熟,可借助360、windows清理助手等工具,当然也包括杀毒软件来清理,这就不多说了,涉及手动杀毒,难度有点大了。

      但是杀虽然困难,防却可以简单,一些主动防御或带主动防御的杀毒软件、HIPS等都能对安装插件或添加服务、驱动进行监控并提示用户,狠一点的干脆就直接禁止了(此举可能导致某些正常的应用软件无法安装和运行,包括安全工具)。如何判断是否放行,就要看你是否正在装或运行软件,前提是你知道你在装与在用的软件是正常的,没有搭配木马或病毒;还有关于插件的安装,如无必要,一般不要安装什么插件,特别在某些陌生的网站上的插件尽量不要装,除非你确切知道它是干什么的,如支付宝、网银等。没有一劳永逸的方法,要学会自己判断分析。

      还有一点也是通用的,就是选用非IE的浏览器,哪怕是使用IE核心的第三方浏览器,有很多也采取了一些防范措施,但最彻底的是那些非IE核心的浏览器,如火狐、opera、chrome等,虽然它们也存在着自身的一些漏洞(也不能说是百毒不侵的),但相对树大招风的IE,要安全得多。即使使用IE,也请记住两个参数:-nohome和-extoff,前者是无主页加载,后者是无插件加载,可用于快捷方式属性的目标中或直接运行,如"C:\Program Files\Internet Explorer\iexplore.exe" -extoff

      5、除了上面说到的加载方法,还有一个位置,就是右键菜单

      曾经从360论坛那里看到的一个右键菜单加载的例子(5566dh等),这个注册表的位置是SREng日志扫描不出来,而用狙剑却可以扫出来。我也不相信右键菜单能够加载dll文件,但是后来在电脑报论坛发现一个右键菜单加载错误导致explorer.exe关闭的求助,才发现这个右键菜单不简单。不过具体原因还是不大明白,谁知道的或有空的试验下。

      6、软件捆绑

      这是那些劫持、篡改“IE主页”的各种方法中无奈的一种,如主题、外观软件、工具软件等,甚至某些所谓美化版、优化版的GHOST盗版系统,软件作者们为了收益捆绑了某网站,要用他们的软件就要打开该网站或设其为主页(如365j)。对共享软件作者与推广网站而言是双赢,对用户则是两难,要用软件、要玩游戏吧,又得忍受不请自来的网站霸占IE;想保持IE的纯净,又用不了软件或游戏。对此,建议软件、补丁作者给予用户选择权,不要每次使用都改IE,或注明捆绑,让用户知道、选择,也省得不明真相的用户以为中毒了,到处求助。给安全论坛添加麻烦。对于用户如果发现IE被改,想想最近是否是下载或使用了什么软件、游戏,卸载它们或卸载后再修复看看能不能恢复原来的IE状态,而在下载与安装软件时也要看清楚说明再点下一步。当然这是废话,这里说了也是白说,当我做梦好了。

      7、修改HOSTS

      一般用于拦截访问网站,但也可以用于控制访问的转向,不过似乎这个情况并不常见,如果真的HOSTS被修改,可以手动修复,HOSTS位于c:\windows\system32\drivers\etc\默认该文件中只有一句:“127.0.0.1  local”,注意开头带“#”的表示这一行是注释行,不起作用。如果你使用了360或电脑报的反黑榜之类的HOSTS文件,自然内容与上述的不同,请注意区别。另外某些工具也有重置与恢复HOSTS的功能,如SREng。不多说了,这个确实不常见,而且也是杀毒软件与各工具重点盯防的地方,正常操作也会报警,一般比较安全。

      总结,差不多就这些了,如果你有新鲜的可以补充。而且此类网站中大部分为是导航站,可能暂时此类导航站上是不会有隐藏病毒木马,但不表示这样用户就喜欢被绑架,值得强调的是即使有这样强制的流量也不一定能带来利润与投资,网络上有的成功是不能复制的,别总以为自己也是hao123和265的翻版。

      总之,没有人会喜欢被人绑架电脑、强迫访问不愿意去的网站,当然如果你真的在强迫中喜欢上了那个网站,从而真的愿意把它当作主页,那也没办法。如果不喜欢就自己动手修复吧,注册表搜索法和工具(如360、兔子、金山清理专家、黄山IE修复等)修复法是我推荐的,如果暂时没法搞定这些恶意网站,可以把它们的网址(可不带“http://”部分)添加入HOSTS文件中,指向127.0.0.1,如“127.0.0.1  www.abc.com”(不包括引号,单独占一行),这样访问该网站时会自动转到127.0.0.1这个打不开的地址,避免让恶意网站赚流量,也避免进一步的网络风险。

  • 相关阅读:
    android 75 新闻列表页面
    android 74 下载文本
    android 73 下载图片
    android 72 确定取消对话框,单选对话框,多选对话框
    android 71 ArrayAdapter和SimpleAdapter
    android 70 使用ListView把数据显示至屏幕
    maven如何将本地jar安装到本地仓库
    Centos6.7搭建ISCSI存储服务器
    解决maven打包编译出现File encoding has not been set问题
    MySQL 解决 emoji表情 的方法,使用utf8mb4 字符集(4字节 UTF-8 Unicode 编码)
  • 原文地址:https://www.cnblogs.com/moondark/p/2578313.html
Copyright © 2011-2022 走看看