IE浏览器被恶意修改后的解决方法

互联网 | 编辑: 2005-12-23 00:00:00转载 返回原文

当我们的浏览器被病毒或网页恶意修改时,应如何将其恢复呢?相信很多网友都遇到过类似的问题,下面我们就针对这个问题,向大家做详细的说明!

IE浏览器被恶意修改后的解决方法(上)

当我们的浏览器被病毒或网页恶意修改时,应如何将其恢复呢?相信很多网友都遇到过类似的问题,下面我们就针对这个问题,向大家做详 细的说明!

一、解除IE恶意程序

方案1:在Internet设置中修复主页

在“控制面板”中双击“Internet”属性图标,尔后在弹出窗口中查看“常规”标签页,在其中修改被恶意网页“侵占”的主页地址。

但如果恶意网页已锁定了“主页”的修改功能,使按钮显示为灰色未激活状态,而且注册表编辑器也被禁用。则可通过以下的操作,解除限制 。

解除限制的方法:

1.Windows 98用户

建立一个文本文件,输入以下内容:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools“=dword:00000000

2.Windows XP用户

在新建文本文件中输入以下内容:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableRegistryTools“=dword:00000000

注意:区分大、小字及格式(空行)。

其后,将该文本文件保存为“*.reg”格式,再运行它导入到注册表中,重新启动,注册表禁用限制被解除。

下面,我们再来解除IE主页无法修改的限制:

运行注册表,定位于“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel”分支。其后,在右侧视图中更改“HomePage”键值的数据,在“编辑DWORD值”对话框中,将原来的数据“1”更改为“0”,“基数” 指定为“十六进制”。此后,重新启动计算机,即可解除了主页无法修改的限制。

注意:此方法适用于Windows XP用户。如果使用的是Windows 98系统,在注册表中查找“HomePage”值,再按以上提及的方法修改其数据即可。

{ad}方案2:利用工具软件自动修复

1.黄山IE修复专家 V7.50

软件大小:4524KB
软件语言:简体中文
软件类别:安全相关/浏览安全
软件评级:★★★
运行环境:Win9x/NT/2000/XP

点击下载>>>

“黄山IE修复专家”能够修复顽固性IE恶意破坏程序;能够剿灭重新启动后又被恶意代码篡改及不能从注册表、进程、启动项等处清除的恶意 代码;还能够进行恶意网站的预防及免疫。

该程序最大的特色在于操作简易,高效省力,无需具体设置,在“查杀修复”界面中可以按需选择输入或不输入恶意网址,点击“立即修复” 按钮后即可执行操作。程序在修复时将自动为系统建立备份快照。我们再切换到“永久免疫”界面,只需点击“立即免疫”按钮,即可预防、 免疫IE恶意代码,这样就无需实时监测了。

2.IE修复专家 V4.4

软件大小:1932 KB
软件语言:简体中文
软件类别:安全相关/浏览安全
软件评级:★★★★
运行环境:Win9x/NT/2000/XP

点击下载>>>

我们运行“IE修复专家”程序后,在“常规设置”标签页中即可逐项自定义IE首页、默认页、当前标题、默认/自定义搜索引擎等相关设置并执 行修复操作。

在“附加条目”标签页中可以定制IE右键菜单、工具栏按钮及附加工具栏。显而易见,相对于上一软件,“IE修复专家”赋予用户的自由度更 高,能够全面定制并修复各个相关选项。

“IE修复专家”还具有自动保护功能,能够实时保护IE首页和标题、右键菜单、工具栏按钮、整个Internet选项、禁止在开始菜单/桌面/快速 启动栏添加网址、禁止修改IE搜索引擎等多达十多项相关设置。使你的IE得以安全保护,不再受到恶意网站的攻击。

IE浏览器被恶意修改后的解决方法(中)

方案3:在注册表中清除恶意网址

如果利用工具软件无法解决恶意代码修改IE主页、搜索页等问题,则可尝试使用下面的方法。运行“注册表”后,点击菜单栏上的“编辑”→ “查找”,弹出一个窗口。在其中设置“查找目标”为恶意网址“www.xxx.com”,在“查看”项目中仅勾选“数据”复选框,然后点击“查看 下一个”按钮。此后,你将会搜索到很多相关键值均被非法篡改为“www.xxxcom”网址了。大家在搜索下一目标时,无需调出“查找”界面, 直接按F3键即可。

此后,我们修改这些键值,将其还原为原来的IE设置即可。虽说被“侵袭”的键值很多,但概括起来,其实只涉及到IE搜索引擎(键值名称中 包含“Search”之类的关键字,如“Default_Search_URL”键值即表示默认搜索引擎的网址)、默认页(键值名称为“Default_Page_URL”) 及起始页(键值名称为“Start Page”)之类。大家从键值名称上应该比较易于理解其所对应的IE设置。

我们在修改完毕相关的设置后,如果想禁止恶意网站再次“作恶”,可锁定注册表。在“注册表”中,定位于 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”分支。再点击菜单栏上的“编辑”→“新建”→ “DWORD值”,其后,将该值命名为“DisableRegistryTools”,并设置其数据为“1”。当重新计算机后,即可使设置升效

{ad}方案4:解除浏览器绑定

我们以上讲述的修复IE相关设置的方法其实只是治标不治本,而我们使用HijackThis这款软件,则可以追根溯源,将所有可疑的程序全揪出来 ,再判断哪个程序是肇祸者,进而将其彻底踢出硬盘。

HijackThis V1.97.7 汉化版

软件大小:155 KB
软件语言:简体中文
软件类别:安全相关/浏览安全
软件评级:★★★★
运行环境:Win9x/NT/2000/XP

点击下载>>>

我们直接压缩包中的主程序即可看到HijackThis的主界面,查看下端的“Scan & fix stuff”项目,在此点击“Scan”按钮,程序将自动扫描注册表和硬盘上的特定文件,以找到系统中的恶意程序“劫持”浏览器的入口。一会儿 ,扫描结束,在界面中央的列表中显示了若干可疑项目。

但是,面对这些数量不菲的扫描结果,哪些才是恶意程序呢?我们自然要通过分析,从中筛选出真正“绑架”浏览器的程序。我们点击列表中 的指定项目后,再点击下端的“Info on selected item”按钮,在弹出对话框中即可看到关于该项目的帮助信息。

其中,HijackThis程序为我们详细注释了该项目的文件所在路径、项目分类及调用该模块的常见程序。为了便于大家自行分析,我们将简要介 绍一下各项目分类所代表的意义。

R0、R1、R2、R3:IE起始页或搜索页URL
F0、F1:自动加载程序
N1、N2、N3、N4:Netscape或Mozilla 起始页、搜索页 URL
O1:主机文件重定向
O2:浏览器辅助对象
O3:IE工具栏
O4:从注册表自动加载程序
O5:使IE选项的图标在控制面板中 不可见
O6:由管理员限制的对IE选项的访问
O7:由管理员限制的对注册表编辑器的访问
O8:IE右键菜单中的额外项
O9:主IE 按钮工具栏上的额外按钮或IE“工具”菜单中的额外项
O10:Winsock绑架程序
O11:IE“高级选项”窗口中的额外组
O12:IE插件
O13:IE DefaultPrefix绑架
O14:“重置Web设置”绑架
O15:受信任区域中的有害站点
O16:ActiveX对象
O17:Lop.com域绑架程序
O18:额外协议和协议绑架程序
O19:用户样式表绑架

当你分析出需要清除的项目后,勾选相应的复选框。再点击下端的“Fix checked”按钮,程序在弹出对话框中询问你是否确认删除,确认操作后将立即进行修复。

此外,在程序主界面中我们点击“Configuration”按钮,在显示的配置界面中,可定制无需扫描的固定项目;可生成日志文件;可备份扫 描列表以便于他人帮助检测可疑程序;可将正常程序添加忽略列表中。

IE浏览器被恶意修改后的解决方法(下)

二、清剿擅自添加的启动项

无论是IE恶意程序、木马还是其它有害的东东,进驻电脑后都喜欢自动添加在系统启动项中,以使自身能够长久地“存活”。因此,我们将着 力清除这些“自作主张”入驻的启动项。

藏身之处1:“启动”菜单项

运行“开始”→“程序”→“启动”菜单,查看其中是否有擅自添加的项目,若有直接将其删除即可。但目前来说,从这里揪出恶意程序的情 况已不多见了。因为“开始”菜单是用户用得最多的地方,只要一看到启动项中多出了一个莫名其妙的程序项,当然就会警惕起来。

藏身之处2:Autorun.inf文件

Windows系统载入后会自动查找每个磁盘根目录下的Autorun.inf文件,然后安装其中的内容运行相关的程序。因此,有些木马及恶意程序会将 此已制作好的此文件复制到任意驱动器的根目录下。
其检测方法为:搜索所有驱动器根目录中的Autorun.inf文件,查看:

[Autorun]
open=xxxx.exe(此文件如果是非正常安装的程序,就将其删除)

藏身之处3:win.ini文件

在系统盘的windows目录下,查找并打开“win.ini”文件,其中[windows]下[load=]和[run=]为启动程序内容。例如:

[windows]
load=c:\windows\xxxx.exe

藏身之处4:system.ini文件

在系统盘的windows目录下,查找并打开“system.ini”文件查看:

[boot]
shell=Explorer.exe

这种即为正常的桌面程序,如果显示为:

[boot]
shell=Explorer.exe c:\windows\xxxx.exe

则后面的那个程序很有可能为恶意程序。

{ad}藏身之处5:注册表启动项中

在注册表中添加键值自动运行恶意程序,是应用得最多,也是最为有效的一种方式。大家着重查看以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce

在以上的任意注册表项中,如果看到非正确添加的启动项,即可将其删除,但建议事先备份修改的注册表分支,若删除后出现问题也便于修复 。

藏身之处6:Windows服务

有些恶意程序激活后,会作为系统服务而自动运行。我们查看“控制面板”→“管理工具”→“服务”,此后在显示界面中查看状态为已启动 的服务,如果其中有未知的可疑服务,则在“属性”中查看该可执行文件的路径,若是不明程序则停止其运行。

检测系统启动项推荐工具软件:

1.Absolute StartUp 4.1.0.3

软件大小:2310KB
软件语言:英文
软件类别:系统软件/系统维护
软件评级:★★★★
运行环境:Win9x/Me/NT/2000/XP

点击下载>>>

该软件能够清楚的列出所有随Windows开机启动的程序,包括隐藏在登录档中的的启动项目。它能够帮你监视、新增、删除、禁用以及监控 Windows启动项目,还具有自动启动排程功能。

2.RunViewer 2.00

软件大小:420KB
软件语言:英文
软件类别:系统软件/系统维护
软件评级:★★★★
运行环境:Win9x/Me/NT/2000/XP

点击下载>>>

RunViewer除了可以查看和删除跟随系统或浏览器一同启动的程序,还能够自动删除间谍程序。

返回原文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑