修复被劫持、篡改的IE主页

　　很久不用IE9，今天打开IE，发现IE主页被修改了，于是我打开“Internet选项”，修改默认主页，再次点开，正常……

　　后来，我偶然启动IE9，发现主页又被修改回来了，我很奇怪，于是再次重复上述操作，然后打开新选项卡，发现多打开几次后，主页又被修改了，于是乎修改注册表，但发现问题依旧，感觉就像后台有程序在监控我的操作一样，每当我打开IE9，它会自动将主页改之！

　　我很愤怒，于是上网找其原理，倒是搜到一些资料，并且找相关解决办法，手动解决看起来很麻烦，得手动杀进程，不是不可以，就是烦躁啊！！！而且电脑软件装的太多，我也不是对所有进程都了然于胸，于是搜工具治疗法，唔，好像有很多种，比如用优化大师、360等，没用过效果我也不知道，最后选择了360……因为我同时下这些软件的时候，360的最先下载完成，我自然就用它来完成操作了

　　最终结果：360似乎效果还不错，将需要修改的都改回去了！下载地址：http://www.360.cn/jijiuxiang/index.html

//--------------------------------分割线------下面是我搜到的资料，觉得比较科普-------------------

　　原文地址：http://www.stormcn.cn/post/407.html

　　

　　下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法，如果你遇到的不在其中，欢迎补充与指正。（本文首发于电脑报论坛病毒版，此处为终稿）

　　1、最简单的直接修改

　　通过注册表（HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main中的“start page”）修改IE的主页设置，也就是IE的internet选项中的主页（IE菜单中的“工具”－internet选项－常规－主页）。为了不让用户修复，往往会采取措施禁止主页修改，也就是主页那里是灰色的，无法改变主页的值，一般通过组策略达到此目的（其实也就是注册表中设置），因为这招已经用老了，所以修复的方法网上都能查得到，各种IE修复工具也能做到，以至于现在采用这种方法的人也少了，真没什么好多说的。

补充：还有一种对注册表的锁定，是通过对注册表项的权限进行修改实现的，取消用户包括管理员及系统对某个注册表项的“完全控制权”达到无法修改或删除该项的目的，所以修复前需要右击待修改或待删除的注册表项，进入“权限”中恢复控制权限（勾选“完全控制”），然后就可以无限制的操作了。

　　2、通过IE的命令形式

　　也是修改注册表，会在正常的值后面添加强制访问的网址链接（如go2000），如：

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command（正常值：C:\Program Files\Internet Explorer\IEXPLORE.EXE）

HKEY_CLASSES_ROOT\http\shell\open\command（主页设为空白页时的正常值："C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome）

此时即使在IE的主页设置中仍然是about:blank（空白页）或其它网址，打开IE也会被上面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上两个地方外注册表其余的位置被篡改的可能，一般的建议方法是用篡改的网址作关键字搜索全部注册表（开始－运行－regedit，打开注册表编辑器，编辑－查找，在查找目标上输入网址，为提高命中率，可以不加“http://”，甚至不要“www.”，如果有的话），注意，如果真的搜索到了，不是一刀全删，比如上面，如果你找到HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command中有你要找的恶意网址，不是把整个command全干掉，只要把网址部分删除就可以了，比如command的值是“C:\Program Files\Internet Explorer\IEXPLORE.EXE　www.abc.com”，把后面的“www.abc.com”删除就可以了，因为我们要做是恢复原状。如果你不知道原来是什么，可以去正常的电脑上对照一下相同位置的值是什么，如果别人那里不存在这个项目，你才可以删除，尽管如此，仍然建议你在操作注册表前备份整个注册表，误操作了别怪我没提醒你。

　　如果在修改时系统提示你没有权限（有可能），你可以右击要修改的注册表项目（在左边的）－权限－看看有没有“完全控制”权限，没有就加上去，再做修改。如果你发现连注册表也进不了，这种情况你可以用网上解锁注册表的方法或者用工具软件（比如SREng）来解锁。如果注册表解锁后又锁上了，或者你修改完注册表后又被改回去，说明你的电脑上还有恶意程序在实时监控，这时情况就升级了，可以叫它病毒，这个后面再说。还一点，就是你看到的网址可能不是出现在注册表中的网址，域名可以转发的，比如www.abc.com可以转发到www.def.com上，而且最终显示在地址栏上的网址就是www.def.com，而不显示www.abc.com，但这个www.abc.com则是显示在你注册表中的地址，而不会有www.def.com，这个就要费点劲了，要么你的眼要快，看清在最终转发网址显示前显示的地址是什么，或者在注册表中找“.com”或“.cn”（都有可能），然后再从中鉴别（别找到就删，因为这样找范围就大了，“.com”还可能是文件的后缀名，这个可不是网址，我只是举例，而不是真的一定去找.com与.cn）。

　　另外还有一种可能，就是网址加密或转换，这样你在注册表中搜索劫持网址的关键字，就可能找不到，因此要会变通，既然都是通过ie调用，就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet Explorer”，再或者把它们结合起来搜索，然后再检查其中的键值是否有可疑项，如上面说的command或open之类的值中有没有疑似网址的东西，将其删除，或者对照其它电脑的注册表，将可能是新增的、非系统原有的注册表项整个删除，就是你找到的可疑确认项“iexplore.exe”或“Internet Explorer”的上级。继续提醒，删除任何注册表项前请注意备份。

　　这种搜索注册表的方法也适用于第1种情况。

　　补充：另有一种实际也是通过修改注册表形成仿IE桌面图标的方法可参见“苹果工具条”的调查篇与继续篇。

　　3、浏览器快捷方式的属性也是此类问题的重点区域

　　而且容易被忽略（如365j）。以IE为例，它的快捷方式可能位于桌面（注意通常指的是快捷方式，就是图标左下角带有小箭头的那种，也可能不带箭头，这种图标的创建与修改在注册表中是可以实现的，还可能不允许删除，因此需要用上面的搜索注册表法，在注册表中寻找网址或IE程序名的关键字）和快捷启动栏（开始菜单按钮的右边），右击IE的快捷方式图标－属性，转到“快捷方式”页，检查“目标”一栏，正常情况下这里是只有ie程序名，而不会带有任何网址，如果此处出现了某个网站地址，基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址，只要你双击修改过的IE快捷方式打开浏览器，出现的只会是快捷方式属性中网址。

　　解决方法：去掉快捷方式属性的目标中的网站地址，或者直接删除快捷方式，重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改，不要遗漏。如果遇到删除后又被加上网址的现象或整个快捷方式不让你删除，同上面说的一样，可能有木马病毒进程在监控。

　　4、正如上面说的，如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为，修复就不那么容易（此类如web6699、6700)。

　　要找出它们，应注意各种启动项和加载项上，如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前，我们要做的就是清除这些恶意程序（或直接叫它们木马、病毒），由于此类项目变种很多，所以不一定是杀毒软件以及所谓专杀木马的软件（题外话，其实杀木马与杀毒并不必严格划分，所谓专杀木马并不见得比杀毒软件强多少）所能发现与清除的，虽然还是规律可寻的，比如发现的启动项并不是自己所安装的应用程序、也不是系统文件，自然就有嫌疑；再如有的IE插件，它引用的文件名是有8位以上的字母随机重合成的，明显不象好人（如果病毒、木马都这么明显就好了，可惜……）。

　　如果你对电脑熟悉可以尝试手动查杀，如果不是太熟，可借助360、windows清理助手等工具，当然也包括杀毒软件来清理，这就不多说了，涉及手动杀毒，难度有点大了。

　　但是杀虽然困难，防却可以简单，一些主动防御或带主动防御的杀毒软件、HIPS等都能对安装插件或添加服务、驱动进行监控并提示用户，狠一点的干脆就直接禁止了（此举可能导致某些正常的应用软件无法安装和运行，包括安全工具）。如何判断是否放行，就要看你是否正在装或运行软件，前提是你知道你在装与在用的软件是正常的，没有搭配木马或病毒；还有关于插件的安装，如无必要，一般不要安装什么插件，特别在某些陌生的网站上的插件尽量不要装，除非你确切知道它是干什么的，如支付宝、网银等。没有一劳永逸的方法，要学会自己判断分析。

　　还有一点也是通用的，就是选用非IE的浏览器，哪怕是使用IE核心的第三方浏览器，有很多也采取了一些防范措施，但最彻底的是那些非IE核心的浏览器，如火狐、opera、chrome等，虽然它们也存在着自身的一些漏洞（也不能说是百毒不侵的），但相对树大招风的IE，要安全得多。即使使用IE，也请记住两个参数：-nohome和-extoff，前者是无主页加载，后者是无插件加载，可用于快捷方式属性的目标中或直接运行，如"C:\Program Files\Internet Explorer\iexplore.exe" -extoff

　　5、除了上面说到的加载方法，还有一个位置，就是右键菜单

　　曾经从360论坛那里看到的一个右键菜单加载的例子（5566dh等），这个注册表的位置是SREng日志扫描不出来，而用狙剑却可以扫出来。我也不相信右键菜单能够加载dll文件，但是后来在电脑报论坛发现一个右键菜单加载错误导致explorer.exe关闭的求助，才发现这个右键菜单不简单。不过具体原因还是不大明白，谁知道的或有空的试验下。

　　6、软件捆绑

　　这是那些劫持、篡改“IE主页”的各种方法中无奈的一种，如主题、外观软件、工具软件等，甚至某些所谓美化版、优化版的GHOST盗版系统，软件作者们为了收益捆绑了某网站，要用他们的软件就要打开该网站或设其为主页（如365j）。对共享软件作者与推广网站而言是双赢，对用户则是两难，要用软件、要玩游戏吧，又得忍受不请自来的网站霸占IE；想保持IE的纯净，又用不了软件或游戏。对此，建议软件、补丁作者给予用户选择权，不要每次使用都改IE，或注明捆绑，让用户知道、选择，也省得不明真相的用户以为中毒了，到处求助。给安全论坛添加麻烦。对于用户如果发现IE被改，想想最近是否是下载或使用了什么软件、游戏，卸载它们或卸载后再修复看看能不能恢复原来的IE状态，而在下载与安装软件时也要看清楚说明再点下一步。当然这是废话，这里说了也是白说，当我做梦好了。

　　7、修改HOSTS

　　一般用于拦截访问网站，但也可以用于控制访问的转向，不过似乎这个情况并不常见，如果真的HOSTS被修改，可以手动修复，HOSTS位于c:\windows\system32\drivers\etc\默认该文件中只有一句：“127.0.0.1  local”，注意开头带“＃”的表示这一行是注释行，不起作用。如果你使用了360或电脑报的反黑榜之类的HOSTS文件，自然内容与上述的不同，请注意区别。另外某些工具也有重置与恢复HOSTS的功能，如SREng。不多说了，这个确实不常见，而且也是杀毒软件与各工具重点盯防的地方，正常操作也会报警，一般比较安全。

　　总结，差不多就这些了，如果你有新鲜的可以补充。而且此类网站中大部分为是导航站，可能暂时此类导航站上是不会有隐藏病毒木马，但不表示这样用户就喜欢被绑架，值得强调的是即使有这样强制的流量也不一定能带来利润与投资，网络上有的成功是不能复制的，别总以为自己也是hao123和265的翻版。

　　总之，没有人会喜欢被人绑架电脑、强迫访问不愿意去的网站，当然如果你真的在强迫中喜欢上了那个网站，从而真的愿意把它当作主页，那也没办法。如果不喜欢就自己动手修复吧，注册表搜索法和工具（如360、兔子、金山清理专家、黄山IE修复等）修复法是我推荐的，如果暂时没法搞定这些恶意网站，可以把它们的网址（可不带“http://”部分）添加入HOSTS文件中，指向127.0.0.1，如“127.0.0.1  www.abc.com”（不包括引号，单独占一行），这样访问该网站时会自动转到127.0.0.1这个打不开的地址，避免让恶意网站赚流量，也避免进一步的网络风险。