下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法,如果你遇到的不在其中,欢迎补充与指正。(本文xx于电脑报论坛病毒版,此处为终稿)
1、最简单的直接修改,通过注册表(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\Main中的“start
page”)修改IE的主页设置,也就是IE的internet选项中的主页(IE菜单中的“工具”-internet选项-常规-主页)。为了不让用户修复,往往会采取措施禁止主页修改,也就是主页那里是灰色的,无法改变主页的值,一般通过组策略达到此目的(其实也就是注册表中设置),因为这招已经用老了,所以修复的方法网上都能查得到,各种IE修复工具也能做到,以至于现在采用这种方法的人也少了,真没什么好多说的。
2、通过IE的命令形式,也是修改注册表,会在正常的值后面添加强制访问的网址链接(如go2000),如:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command(正常值:C:\Program
Files\Internet Explorer\IEXPLORE.EXE)
HKEY_CLASSES_ROOT\http\shell\open\command(主页设为空白页时的正常值:"C:\Program
Files\Internet Explorer\IEXPLORE.EXE" -nohome)
此时即使在IE的主页设置中仍然是about:blank(空白页)或其它网址,打开IE也会被上面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上两个地方外注册表其余的位置被篡改的可能,一般的建议方法是用篡改的网址作关键字搜索全部注册表(开始-运行-regedit,打开注册表编辑器,编辑-查找,在查找目标上输入网址,为提高命中率,可以不加“http://”,甚至不要“www.”,如果有的话),注意,如果真的搜索到了,不是一刀全删,比如上面,如果你找到HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command中有你要找的恶意网址,不是把整个command全干掉,只要把网址部分删除就可以了,比如command的值是“C:\Program
Files\Internet Explorer\IEXPLORE.EXE ”,把后面的“www.abc.com”删除就可以了,因为我们要做是恢复原状。如果你不知道原来是什么,可以去正常的电脑上对照一下相同位置的值是什么,如果别人那里不存在这个项目,你才可以删除,尽管如此,仍然建议你在操作注册表前备份整个注册表,误操作了别怪我没提醒你。
如果在修改时系统提示你没有权限(有可能),你可以右击要修改的注册表项目(在左边的)-权限-看看有没有“xx控制”权限,没有就加上去,再做修改。如果你发现连注册表也进不了,这种情况你可以用网上解锁注册表的方法或者用工具软件(比如SREng)来解锁。如果注册表解锁后又锁上了,或者你修改完注册表后又被改回去,说明你的电脑上还有恶意程序在实时监控,这时情况就升级了,可以叫它病毒,这个后面再说。还一点,就是你看到的网址可能不是出现在注册表中的网址,域名可以转发的,比如可以转发到上,而且最终显示在地址栏上的网址就是,而不显示,但这个则是显示在你注册表中的地址,而不会有,这个就要费点劲了,要么你的眼要快,看清在最终转发网址显示前显示的地址是什么,或者在注册表中找“.com”或“.cn”(都有可能),然后再从中鉴别(别找到就删,因为这样找范围就大了,“.com”还可能是文件的后缀名,这个可不是网址,我只是举例,而不是真的一定去找.com与.cn)。
另外还有一种可能,就是网址加密或转换,这样你在注册表中搜索劫持网址的关键字,就可能找不到,因此要会变通,既然都是通过ie调用,就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet
Explorer”,再或者把它们结合起来搜索,然后再检查其中的键值是否有可疑项,如上面说的command或open之类的值中有没有疑似网址的东西,将其删除,或者对照其它电脑的注册表,将可能是新增的、非系统原有的注册表项整个删除,就是你找到的可疑确认项“iexplore.exe”或“Internet
Explorer”的上级。继续提醒,删除任何注册表项前请注意备份。
这种搜索注册表的方法也适用于第1种情况。
补充:另有一种实际也是通过修改注册表形成仿IE桌面图标的方法可参见“苹果工具条”的调查篇与继续篇。
3、浏览器快捷方式的属性也是此类问题的重点区域,而且容易被忽略(如365j)。以IE为例,它的快捷方式可能位于桌面(注意通常指的是快捷方式,就是图标左下角带有小箭头的那种,也可能不带箭头,这种图标的创建与修改在注册表中是可以实现的,还可能不允许删除,因此需要用上面的搜索注册表法,在注册表中寻找网址或IE程序名的关键字)和快捷启动栏(开始菜单按钮的右边),右击IE的快捷方式图标-属性,转到“快捷方式”页,检查“目标”一栏,正常情况下这里是只有ie程序名,而不会带有任何网址,如果此处出现了某个网站地址,基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址,只要你双击修改过的IE快捷方式打开浏览器,出现的只会是快捷方式属性中网址。
解决方法:去掉快捷方式属性的目标中的网站地址,或者直接删除快捷方式,重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改,不要遗漏。如果遇到删除后又被加上网址的现象或整个快捷方式不让你删除,同上面说的一样,可能有木马病毒进程在监控。
4、正如上面说的,如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为,修复就不那么容易(此类如web6699、6700)。要找出它们,应注意各种启动项和加载项上,如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前,我们要做的就是xx这些恶意程序(或直接叫它们木马、病毒),由于此类项目变种很多,所以不一定是杀毒软件以及所谓专杀木马的软件(题外话,其实杀木马与杀毒并不必严格划分,所谓专杀木马并不见得比杀毒软件强多少)所能发现与xx的,虽然还是规律可寻的,比如发现的启动项并不是自己所安装的应用程序、也不是系统文件,自然就有嫌疑;再如有的IE插件,它引用的文件名是有8位以上的字母随机重合成的,明显不象好人(如果病毒、木马都这么明显就好了,可惜……)。
如果你对电脑熟悉可以尝试手动查杀,如果不是太熟,可借助360、windows清理助手等工具,当然也包括杀毒软件来清理,这就不多说了,涉及手动杀毒,难度有点大了。
但是杀虽然困难,防却可以简单,一些主动防御或带主动防御的杀毒软件、HIPS等都能对安装插件或添加服务、驱动进行监控并提示用户,狠一点的干脆就直接禁止了(此举可能导致某些正常的应用软件无法安装和运行,包括安全工具)。如何判断是否放行,就要看你是否正在装或运行软件,前提是你知道你在装与在用的软件是正常的,没有搭配木马或病毒;还有关于插件的安装,如无必要,一般不要安装什么插件,特别在某些陌生的网站上的插件尽量不要装,除非你确切知道它是干什么的,如支付宝、网银等。没有一劳永逸的方法,要学会自己判断分析。
还有一点也是通用的,就是选用非IE的浏览器,哪怕是使用IE核心的第三方浏览器,有很多也采取了一些防范措施,但最彻底的是那些非IE核心的浏览器,如火狐、opera、chrome等,虽然它们也存在着自身的一些漏洞(也不能说是百毒不侵的),但相对树大招风的IE,要安全得多。即使使用IE,也请记住两个参数:-nohome和-extoff,前者是无主页加载,后者是无插件加载,可用于快捷方式属性的目标中或直接运行,如"C:\Program
Files\Internet Explorer\iexplore.exe" -extoff
5、除了上面说到的加载方法,还有一个位置,就是右键菜单,曾经从360论坛那里看到的一个右键菜单加载的例子(5566dh等),这个注册表的位置是SREng日志扫描不出来,而用狙剑却可以扫出来。我也不相信右键菜单能够加载dll文件,但是后来在电脑报论坛发现一个右键菜单加载错误导致explorer.exe关闭的求助,才发现这个右键菜单不简单。不过具体原因还是不大明白,谁知道的或有空的试验下。
6、软件捆绑,这是那些劫持、篡改“IE主页”的各种方法中无奈的一种,如主题、外观软件、工具软件等,甚至某些所谓美化版、优化版的GHOST盗版系统,软件作者们为了收益捆绑了某网站,要用他们的软件就要打开该网站或设其为主页(如365j)。对共享软件作者与推广网站而言是双赢,对用户则是两难,要用软件、要玩游戏吧,又得忍受不请自来的网站霸占IE;想保持IE的纯净,又用不了软件或游戏。对此,建议软件、补丁作者给予用户选择权,不要每次使用都改IE,或注明捆绑,让用户知道、选择,也省得不明真相的用户以为中毒了,到处求助。给安全论坛添加麻烦。对于用户如果发现IE被改,想想最近是否是下载或使用了什么软件、游戏,卸载它们或卸载后再修复看看能不能恢复原来的IE状态,而在下载与安装软件时也要看清楚说明再点下一步。当然这是废话,这里说了也是白说,当我做梦好了。
7、修改HOSTS,一般用于拦截访问网站,但也可以用于控制访问的转向,不过似乎这个情况并不常见,如果真的HOSTS被修改,可以手动修复,HOSTS位于c:\windows\system32\drivers\etc\默认该文件中只有一句:“127.0.0.1
总结,差不多就这些了,如果你有新鲜的可以补充。而且此类网站中大部分为是导航站,可能暂时此类导航站上是不会有隐藏病毒木马,但不表示这样用户就喜欢被绑架,值得强调的是即使有这样强制的流量也不一定能带来利润与投资,网络上有的成功是不能复制的,别总以为自己也是hao123和265的翻版。
总之,没有人会喜欢被人绑架电脑、强迫访问不愿意去的网站,当然如果你真的在强迫中喜欢上了那个网站,从而真的愿意把它当作主页,那也没办法。如果不喜欢就自己动手修复吧,注册表搜索法和工具(如360、兔子、金山清理专家、黄山IE修复等)修复法是我推荐的,如果暂时没法搞定这些恶意网站,可以把它们的网址(可不带“http://”部分)添加入HOSTS文件中,指向127.0.0.1,如“127.0.0.1
(2009-11-26日修订)
转载自 Storm_Center [ ]