电脑互动吧

 找回密码
 注册
查看: 5282|回复: 0

篡改、劫持IE主页的方法与解决

[复制链接]
发表于 2011-4-22 08:27:42 | 显示全部楼层 |阅读模式
1、修改注册表,强制访问,可通过在注册表中搜索网址的的方法修复7 ]2 l7 H9 K* u" R
2、在浏览器快捷方式的属性中添加网址,删除添加部分
8 X; S* B1 m+ a3、病毒、木马,通过各种启动项、插件加载,防比杀容易. y$ {0 D0 j$ E) J
4、右键菜单加载,也在注册表中
$ U( B* G8 \/ r1 h$ g5、软件捆绑,卸载软件再修复
' ~' Z% r; @* E$ k  J7 V6 q( y6、修改HOSTS,不常见3 z  R* n: D) T# _! z/ x
总结,推荐注册表搜索法与工具修复法(如360),可选的是HOSTS屏蔽法。
+ r" y9 ^, u* [下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法,如果你遇到的不在其中,欢迎补充与指正。( _( B' M+ G' r: l
1、最简单的直接修改,通过注册表(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main中的“start page”)修改IE的主页设置,也就是IE的internet选项中的主页(IE菜单中的“工具”-internet选项-常规-主页)。为了不让用户修复,往往会采取措施禁止主页修改,也就是主页那里是灰色的,无法改变主页的值,一般通过组策略达到此目的(其实也就是注册表中设置),因为这招已经用老了,所以修复的方法网上都能查得到,各种IE修复工具也能做到,以至于现在采用这种方法的人也少了,真没什么好多说的。
: z1 N) }9 r: w2 m2、通过IE的命令形式,也是修改注册表,会在正常的值后面添加强制访问的网址链接,如:
- V+ {: w1 k% r2 z6 @2 aHKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command(正常值:C:\Program Files\Internet Explorer\IEXPLORE.EXE)
2 d/ d: Z) n5 XHKEY_CLASSES_ROOT\http\shell\open\command(主页设为空白页时的正常值:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome)8 J& k5 V* P; d- D
此时即使在IE的主页设置中仍然是about:blank(空白页)或其它网址,打开IE也会被上面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上两个地方外注册表其余的位置被篡改的可能,一般的建议方法是用篡改的网址作关键字搜索全部注册表(开始-运行-regedit,打开注册表编辑器,编辑-查找,在查找目标上输入网址,为提高命中率,可以不加“http://”,甚至不要“www.”,如果有的话),注意,如果真的搜索到了,不是一刀全删,比如上面,如果你找到HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command中有你要找的恶意网址,不是把整个command全干掉,只要把网址部分删除就可以了,比如command的值是“C:\Program Files\Internet Explorer\IEXPLORE.EXE www.abc.com”,把后面的“www.abc.com”删除就可以了,因为我们要做是恢复原状。如果你不知道原来是什么,可以去正常的电脑上对照一下相同位置的值是什么,如果别人那里不存在这个项目,你才可以删除,尽管如此,仍然建议你在操作注册表前备份整个注册表,误操作了别怪我没提醒你。+ K% P3 Z/ u* J1 e9 G4 W) H+ ~
  如果在修改时系统提示你没有权限(有可能),你可以右击要修改的注册表项目(在左边的)-权限-看看有没有“完全控制”权限,没有就加上去,再做修改。如果你发现连注册表也进不了,这种情况你可以用网上解锁注册表的方法或者用工具软件(比如SREng)来解锁。如果注册表解锁后又锁上了,或者你修改完注册表后又被改回去,说明你的电脑上还有恶意程序在实时监控,这时情况就升级了,可以叫它病毒,这个后面再说。还一点,就是你看到的网址可能不是出现在注册表中的网址,域名可以转发的,比如www.abc.com可以转发到www.def.com上,而且最终显示在地址栏上的网址就是www.def.com,而不显示www.abc.com,但这个www.abc.com则是显示在你注册表中的地址,而不会有www.def.com,这个就要费点劲了,要么你的眼要快,看清在最终转发网址显示前显示的地址是什么,或者在注册表中找“.com”或“.cn”(都有可能),然后再从中鉴别(别找到就删,因为这样找范围就大了,“.com”还可能是文件的后缀名,这个可不是网址,我只是举例,而不是真的一定去找.com与.cn)。
- K) ~  K3 x# m7 |' J: S  另外还有一种可能,就是网址加密或转换,这样你在注册表中搜索劫持网址的关键字,就可能找不到,因此要会变通,既然都是通过ie调用,就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet Explorer”,再或者把它们结合起来搜索,然后再检查其中的键值是否有可疑项,如上面说的command或open之类的值中有没有疑似网址的东西,将其删除,或者对照其它电脑的注册表,将可能是新增的、非系统原有的注册表项整个删除,就是你找到的可疑确认项“iexplore.exe”或“Internet Explorer”的上级。继续提醒,删除任何注册表项前请注意备份。
! [1 C8 @2 t% k8 }; Y; H% e0 B$ J7 J  这种搜索注册表的方法也适用于第1种情况。
6 y% F1 w+ t% q# Q3、浏览器快捷方式的属性也是重点地区,而且容易被忽略。以IE为例,它的快捷方式可能位于桌面(注意我指的是快捷方式,就是图标左下角带有小箭头的那种,当然也可能不带小箭头)和快捷启动栏(开始菜单按钮的右边),右击IE的快捷方式图标-属性,转到“快捷方式”页,检查“目标”一栏,正常情况下这里是只有ie程序名,而不会带有任何网址,如果此处出现了某个网站地址,基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址,只要你双击修改过的IE快捷方式打开浏览器,出现的只会是快捷方式属性中网址。2 P$ P9 U9 T( \
  解决方法:去掉快捷方式属性的目标中的网站地址,或者直接删除快捷方式,重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改,不要遗漏。如果遇到删除后又被加上网址的现象,同上面说的一样,有木马病毒进程在监控。0 i% s. u" {7 J$ T
4、正如上面说的,如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为,修复就不那么容易。要找出它们,应注意各种启动项和加载项上,如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前,我们要做的就是清除这些恶意程序(或直接叫它们木马、病毒),由于此类项目变种很多,所以不一定是杀毒软件以及所谓专杀木马的软件(题外话,其实杀木马与杀毒并不必严格划分,所谓专杀木马并不见得比杀毒软件强多少)所能发现与清除的,虽然还是规律可寻的,比如发现的启动项并不是自己所安装的应用程序、也不是系统文件,自然就有嫌疑;再如有的IE插件,它引用的文件名是有8位以上的字母随机重合成的,明显不象好人(如果病毒、木马都这么明显就好了,可惜……)。
" C0 x* l8 B# m( {  如果你对电脑熟悉可以尝试手动查杀,如果不是太熟,可借助360、windows清理助手等工具,当然也包括杀毒软件来清理,这就不多说了,涉及手动杀毒,难度有点大了。. u) v. X4 w5 Z, \& T2 F4 E7 T4 E: ]
  但杀虽然困难,防却可以简单,一些主动防御或带主动防御的杀毒软件、HIPS等都能对安装插件或添加服务、驱动进行监控并提示用户,狠一点的干脆就直接禁止了(此举可能导致某些正常的应用软件无法安装和运行,包括安全工具)。如何判断是否放行,就要看你是否正在装或运行软件,前提是你知道你在装与在用的软件是正常的,没有搭配木马或病毒;还有关于插件的安装,如无必要,一般不要安装什么插件,特别在某些陌生的网站上的插件尽量不要装,除非你确切知道它是干什么的,如支付宝、网银等。没有一劳永逸的方法,要学会自己判断分析。
0 O& S8 u" l- I5 ~5、除了上面说到的加载方法,还有一个位置,就是右键菜单,曾经从360论坛那里看到的一个右键菜单加载的例子,这个注册表的位置是SREng日志扫描不出来,而用狙剑却可以扫出来。我也不相信右键菜单能够加载dll文件,但是后来在电脑报论坛发现一个右键菜单加载错误导致explorer.exe关闭的求助,才发现这个右键菜单不简单。不过具体原因还是不大明白,谁知道的或有空的试验下。
4 Q+ d  Z: N* i4 F0 qHKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers3 A& C# {' J! S2 @
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers; Y- {+ x+ d; `& G( e# I6 n) [
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers( z- J" Q/ X4 S' y3 s5 u
6、软件捆绑,这是那些劫持、篡改“IE主页”的各种方法中无奈的一种,软件作者们为了收益捆绑了某网站,要用他们的软件就要打开该网站或设其为主页。对共享软件作者与推广网站而言是双赢,对用户则是两难,要用软件、要玩游戏吧,又得忍受不请自来的网站霸占IE;想保持IE的纯净,又用不了软件或游戏。对此,建议软件、补丁作者给予用户选择权,不要每次使用都改IE,或注明捆绑,让用户知道、选择,也省得不明真相的用户以为中毒了,到处求助。给安全论坛添加麻烦。对于用户如果发现IE被改,想想最近是否是下载或使用了什么软件、游戏,卸载它们或卸载后再修复看看能不能恢复原来的IE状态,而在下载与安装软件时也要看清楚说明再点下一步。当然这是废话,这里说了也是白说,当我做梦好了。
/ z0 X# X5 Z% R* g8 `) D& G7、修改HOSTS,一般用于拦截访问网站,但也可以用于控制访问的转向,不过似乎这个情况并不常见,如果真的HOSTS被修改,可以手动修复,HOSTS位于c:\windows\system32\drivers\etc\默认该文件中只有一句:“127.0.0.1  local”,注意开头带“#”的表示这一行是注释行,不起作用。如果你使用了360或电脑报的反黑榜之类的HOSTS文件,自然内容与上述的不同,请注意区别。另外某些工具也有重置与恢复HOSTS的功能,如SREng。不多说了,这个确实不常见,而且也是杀毒软件与各工具重点盯防的地方,正常操作也会报警,一般比较安全。
2 {5 y' s' v: M; ?, g" J, ]; J  总结,差不多就这些了,如果你有新鲜的可以补充。总之,没有人会喜欢被人绑架电脑、强迫访问不愿意去的网站,当然如果你真的在强迫中喜欢上了那个网站,从而真的愿意把它当作主页,那也没办法。如果不喜欢就自己动手修复吧,注册表搜索法和工具(如360、兔子、金山清理专家、黄山IE修复等)修复法是我推荐的,如果暂时没法搞定这些恶意网站,可以把它们的网址(可不带“http://”部分)添加入HOSTS文件中,指向127.0.0.1,如“127.0.0.1  www.abc.com”(不包括引号,单独占一行),这样访问该网站时会自动转到127.0.0.1这个打不开的地址,避免让恶意网站赚流量,也避免进一步的网络风险。 & U- X( K. p+ ?0 K8 k8 F
如遇此种情况,且使用360、windows清理助手及各种杀毒软件修复仍无效,需要在数动论坛病毒版进行求助者,请下载SREng扫描日志贴上来(如日志在帖中不能正常显示,可以传附件或重新编辑原帖去掉日志开头的“code”,除此外请保持日志内容完整),SREng下载。0 u; |8 u# K% l& E4 r; b; y0 q
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

联系我们|手机版|小黑屋|Archiver|电脑互动吧 ( 浙ICP备13037409号 )

浙公网安备 33032402001025号

GMT+8, 2024-11-23 17:03 , Processed in 0.052311 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表