手動修復(fù)被篡改的瀏覽器主頁
流氓網(wǎng)站����,顧名思義就是那些使用不正當(dāng)手段修改你主頁的網(wǎng)站,它們是在臭名昭著的流氓軟件衰敗后冒出的�����。部分流氓網(wǎng)站還與病毒勾肩搭背�����,借助一些木馬下載器推廣一起暗算你的電腦��。
設(shè)定默認(rèn)主頁是一種用戶的正常行為����。修改瀏覽器主頁到底是用戶自己設(shè)定的還是被竄改的,殺毒軟件是無法判斷的�,所以殺毒軟件對修復(fù)主頁的行為基本上是聽之任之,不會進(jìn)行攔截�,你就不用指望殺毒軟件清除流氓網(wǎng)站了。
當(dāng)然���,修復(fù)主頁有不少方法��,例如在Internet屬性里面點(diǎn)擊“使用默認(rèn)頁”(圖1)��、使用一些安全輔助工具等��,但你會發(fā)現(xiàn)這些以前很靈的方法���,現(xiàn)在不怎么靈了。用安全修復(fù)工具修復(fù)主頁后�����,沒多久主頁又被竄改了��,無法將主頁徹底修復(fù)��。那應(yīng)該怎么做才可以徹底修復(fù)主頁呢?
基本需求:徹底清除流氓網(wǎng)站
面對霸占瀏覽器主頁的流氓網(wǎng)站�����,你光抓狂是沒有用的,要怎么做才能清除流氓網(wǎng)站呢?
首先需要考慮一次就可以徹底修復(fù)的情況���。在以前我們介紹的系統(tǒng)修復(fù)工具SREng【下載 】在這里大有作為�。啟動SREng�,在“啟動項(xiàng)目”中看看有沒有紅色標(biāo)明的注冊表項(xiàng),有就刪除�。也可以直接點(diǎn)擊“系統(tǒng)修復(fù)”,再點(diǎn)擊“高級修復(fù)”��,選擇“自動修復(fù)”即可修復(fù)系統(tǒng)����。
再運(yùn)行360安全衛(wèi)士,點(diǎn)擊“高級”(圖2)�,在“修復(fù)IE”標(biāo)簽頁中默認(rèn)設(shè)置,再點(diǎn)擊“立即修復(fù)”即可�����。這樣操作后�,你再打開瀏覽器就會發(fā)現(xiàn)主頁是默認(rèn)的空白頁了�����,流氓網(wǎng)站被“彈開”了?��! ?/font>
如果重啟后�����,瀏覽器主頁又被竄改�,就要考慮流氓網(wǎng)站跟某個(gè)程序有瓜葛的情況���。由于流氓網(wǎng)站包含在程序內(nèi)��,不容易清除掉��,所以最好直接卸載程序��。那如何確定哪個(gè)程序有問題呢?
想想瀏覽器在出問題之前��,你下載了什么程序��,運(yùn)行過什么程序�,可以采取排除的方法來解決����,一個(gè)一個(gè)地測試�����,最后鎖定問題程序卸載即可�����。這個(gè)過程需要一定的時(shí)間��,要有一定的耐心�。
進(jìn)階分析:為什么主頁會被竄改
原因1:用Rootkit竄改主頁
用上面的方法清除了流氓網(wǎng)站�����,現(xiàn)在可以舒心了�。不過你可能非常好奇,為什么我們要用這么復(fù)雜的方法來清除流氓網(wǎng)站?為什么簡單地修復(fù)Internet屬性會失敗?這就不得不說到流氓網(wǎng)站用到的Rootkit技術(shù)了���。
小知識:操作系統(tǒng)是 由內(nèi)核和外殼兩部分組成的��,內(nèi)核運(yùn)行于Ring 0級別�,擁有最完全最底層的管理功能,位于Ring 0層的是系統(tǒng)核心模塊和各種驅(qū)動程序模塊���。幾乎所有指令都傳遞給內(nèi)核�,由它來決定是否執(zhí)行����,一旦發(fā)現(xiàn)有可能對系統(tǒng)造成破壞的指令�,內(nèi)核便返回一個(gè)“非法越 權(quán)”標(biāo)志,發(fā)送這個(gè)指令的程序就有可能被終止運(yùn)行�。
運(yùn)用了Rootkit技術(shù),流氓網(wǎng)站就可以擁有跟內(nèi)核一樣的運(yùn)行級別�,就能進(jìn)入內(nèi)核空間,這樣它就擁有了和內(nèi)核一樣的訪問權(quán)限�����,能對內(nèi)核指令進(jìn) 行修改��。所以你用單一的修復(fù)工具修復(fù)瀏覽器主頁時(shí)�,該指令在進(jìn)入系統(tǒng)內(nèi)核時(shí)會被運(yùn)用了Rootkit技術(shù)的流氓網(wǎng)站攔截并竄改,這樣指令就失去了作用�����,修 復(fù)工具就不起作用了。9348和kuku530就是使用這種技術(shù)的代表�。
原因2:走捆綁路線
為什么有的流氓網(wǎng)站頻繁竄改主頁,清除過后不久又會出現(xiàn)����,老是清除不干凈呢?這是因?yàn)椋髅ゾW(wǎng)站除了使用Rootkit技術(shù)保護(hù)自己外�,還有一 種霸占瀏覽器主頁的方式,就是捆綁方式��。當(dāng)某個(gè)程序運(yùn)行時(shí)就激活了它們����,它們就竄改了主頁。這種方式的缺點(diǎn)是容易被修復(fù)���,優(yōu)點(diǎn)是無法徹底修復(fù)���。
捆綁流氓網(wǎng)站的程序大多是經(jīng)常要用到的,比如各種外掛����、破解補(bǔ)丁、游戲客戶端等���。舉一個(gè)例子�,你在某個(gè)軟件下載站下載了一個(gè)游戲外掛,當(dāng)你運(yùn)行游戲外掛時(shí)�����,嵌入游戲外掛里面的流氓網(wǎng)站就會對瀏覽器主頁進(jìn)行判斷�����,如果主頁不是自己就進(jìn)行竄改�,如果是自己則跳過�����。
除了常用程序����,流氓網(wǎng)站還會與其他東西捆綁����,例如操作系統(tǒng)(114la、tomatolei)��、優(yōu)化軟件(930930)�,更搞笑的是一些所謂的IE保護(hù)工具本身也會竄改主頁(圖3)?! ?/font>
使用三Web瀏覽器的主頁功能,就是當(dāng)運(yùn)行瀏覽器程序時(shí)���,會自動打開被設(shè)為主頁的頁面�。這個(gè)功能方便用戶訪問自己喜愛的��,經(jīng)常要瀏覽的網(wǎng)頁����。我們可以通過 IE瀏覽器的“Internet選項(xiàng)”設(shè)置主頁地址鏈接��。不少的網(wǎng)站為了給自己做廣告,增加流量�,使用惡代碼,未在用戶許可的情況下修改了IE瀏覽器主頁��,并且不許用戶更改被篡改的主頁���。我曾經(jīng)遇到過兩種惡意修改IE瀏覽器主頁����,而又不允許用戶修改的情況���,把我的解決方法與大家分享。
第一種情況:IE瀏覽器主頁被篡改�,通過修改注冊表中的相關(guān)值后,可以恢復(fù)過來�����,可是重新啟動或注銷后重新運(yùn)行系統(tǒng)�,IE瀏覽器的主頁再次被改過來。
有一臺計(jì)算機(jī)的IE瀏覽器主頁被設(shè)置如下:
 圖一
直接通過“Internet選項(xiàng)”或者修改注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]及[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] 項(xiàng)下的"Default_Page_URL"���、"Start Page"的值����,把IE主頁修改過來,可是關(guān)掉IE���,再次運(yùn)行IE時(shí)�,仍然沒能修改過來����。
當(dāng)我右鍵單擊桌面上的Internet Explorer圖標(biāo)��,打開快捷菜單��,單擊“屬性”命令時(shí),發(fā)現(xiàn)這是一個(gè)IE瀏覽器的快捷方式��,其命令后面有一個(gè)參數(shù)��,這個(gè)參數(shù)就是被設(shè)為主頁的網(wǎng)站地址�。
圖二
把這上圖中,后面的參數(shù)刪除后�����,發(fā)面依然不能修改過來����,這時(shí)��,我猜想到IE瀏覽器被劫持了,加載項(xiàng)中肯定加載了某個(gè)程序或腳本。從網(wǎng)上下載了趨勢的hijackthis這款軟件��,運(yùn)行掃描IE瀏覽加載項(xiàng)����,果不出所料�,發(fā)現(xiàn)了IE瀏覽器在運(yùn)行時(shí)加載了一個(gè)vbs腳本:
圖三
在上圖,選擇ctfmon.vbs這一項(xiàng)��,然后單擊“Fix Checked”按鈕�����,把該加載項(xiàng)刪除掉。至此��,一切ok�����!���,徹底把IE瀏覽器主頁更改了過來�����。
可以從注冊表編輯器中找到相應(yīng)的鍵值���,把它刪除掉即可:
圖四
這種情況腳本隱藏得很深,不容易找到�。
第二種情況:“Internet選項(xiàng)”的主頁部分全部是灰色,不能更改�����。
圖五
出現(xiàn)這種狀況��,是因?yàn)樽员韀HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]項(xiàng)下的“HomePage”值為1(HomePage值類型是DWORD)��,把它改為0即可。
 圖六
我所遇到上述兩種情況的解決方法也許對大家有所幫助���。大家如果遇到了其它情況或者有更好的解決方法����,煩請拿出分享�。
使用三招輕松恢復(fù)被修改的瀏覽器主頁:
如果說上網(wǎng)最常遇到的問題是瀏覽器主頁被強(qiáng)制更改,可能一點(diǎn)都不過分�����。殺軟找不到病毒��,用工具也修復(fù)不了�����,很是讓人憎惡��!今天�����,我們就給大家介紹三種方法��,徹底“治愈”瀏覽器主頁被強(qiáng)制更改的“惡疾”��!
大眾方案 用工具軟件幫忙搞定
首先下載360安全衛(wèi)士或超級兔子等軟件�,本文以360安全衛(wèi)士為例,安裝后點(diǎn)清理惡評插件功能��,在360界面上選擇“高級→修復(fù)IE”���,然后在左下角點(diǎn)擊“全選”項(xiàng)�����,并立即修復(fù)就可以了�。
董師傅提示:在修復(fù)IE之前�,最好升級木馬庫,并全盤查殺木馬�!
進(jìn)階方案 修改HOSTS手動清除
網(wǎng)頁劫持一般都是病毒、木馬劫持了HOSTS文件�!HOSTS文件是將一些常用的網(wǎng)址域名與其對應(yīng)的IP地址建立一個(gè)關(guān)聯(lián),類似數(shù)據(jù)庫的功能��。它沒有擴(kuò)展名�,但可以用記事本打開。
首先�,打開“C:/WINDOWS/system32/drivers/etc/”目錄,找到“hosts”文件(如果沒有��,可以在文件夾選項(xiàng)當(dāng)中的“顯示”選項(xiàng)依次選擇“隱藏文件和文件夾→顯示所有文件和文件夾”選項(xiàng))��,并用記事本打開����。將文件當(dāng)中除“127.0.0.1 localhost”以外的內(nèi)容全部刪除并保存?�! ?/font>
高手方案 請注冊表大神來幫忙
運(yùn)行注冊表編輯器����,定位到“HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/Main”,在右半部分窗口中將“Start Page”的鍵值修改為“about:blank”����。然后再定位到“HKEY_CURRENT_USER/Software/Microsoft/Internet ExplorerMain”,同樣在右半部分窗口中將“Start Page”鍵值改為“about:blank”�����,就可以修復(fù)IE首頁了����。
桌面上出現(xiàn)兩個(gè)IE,并且所有瀏覽器主頁被更改問題
360安全衛(wèi)士6.0解決桌面ie圖標(biāo)(yy2000,365j)無法清除New
IE圖標(biāo)無法刪除�����,365j.com��、yy2000等篡改首頁方法New
如果不行再參考下面的方法:
==================================================================================
不小心下載安裝蘋果工具條等軟件導(dǎo)致IE首頁被改成www.365j.com�、haha123.com,07707.cn、yy2000.net等�����,并且桌面上的IE快捷方式無法刪除解決方法如下:
第一步:開始——程序——果果工具條——卸載(已經(jīng)卸載的請?zhí)^)
第二步:下載360頑固木馬專殺大全解壓后雙擊superkiller進(jìn)行查殺后��,按照專殺提示立即重啟(如圖)
下載地址:http://www./Soft/security/Trojan/11049.html
第三步:重啟后(專殺后一定要重啟),右擊——桌面——屬性——選擇桌面——自定義桌面——現(xiàn)在開始清理桌面——下一步——選擇InternetExplorer——下一步——刷新桌面桌面上的快捷方式即可刪除(如圖)
如果沒有找到清理桌面那項(xiàng)�,請按照下面的方法同樣可以刪除桌面圖標(biāo)
開始——運(yùn)行——輸入——regedit——查找注冊表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\下數(shù)據(jù)為InternetExplorer的那個(gè)鍵刪除(如{B416D21B-3B22-B6D4-BBD3-BBD452DB3D5B}并一定都是這個(gè),只是舉例)��,完成后刷新桌面即可��。
如果沒有找到InternetExplorer的那個(gè)鍵����,XP系統(tǒng)請只保留下圖的四個(gè)鍵�,多余的刪除然后刷新桌面(給用戶遠(yuǎn)程發(fā)現(xiàn)�����,木馬變聰明了���,不寫成InternetExplorer而寫成其他了)
第四步:升級360安全衛(wèi)士到最新版本——打開360——高級——修復(fù)ie(如圖)手動 修復(fù) 被竄改的 瀏覽器 主頁 復(fù)活的木乃伊 siniandd 博客
第五步:(如果你不使用ie瀏覽器請?zhí)^)打開C:\ProgramFiles\InternetExplorer文件夾——復(fù)制IEXPLORER.EXE到桌面即可
第六步:如果其他地方的IE快捷方式打開仍然是這個(gè)網(wǎng)址,并且快捷方式無法刪除���,請使用360安全衛(wèi)士高級高級工具集粉碎機(jī)(快捷方式拖入粉碎機(jī))粉碎即可。
補(bǔ)充:如果您在使用360修復(fù)ie的時(shí)候��,如host等無法修復(fù)(就是第一次修復(fù)完了�,第二次修復(fù)還是同樣的內(nèi)容)解決方法:
1、新建一個(gè)TXT文本文檔
2�����、把括號中的字符(caclsC:\WINDOWS\system32\drivers\etc\hosts/e/peveryone:n)拷貝到文本文檔里
3��、打開剛才新建的文本文檔.txt——文件——另存為——新建文本文檔.bat(后綴要改成bat����,不要是保存為txt,切忌)
4�����、運(yùn)行保存的bat文件后,再打開360安全衛(wèi)士——高級——修復(fù)ie
|
