论文部分内容阅读
IE浏览器(包括以IE为基础的傲游、世界之窗等)作为大家上网的首选,在给大家提供在你上网的方便的同时,也成为了许多病毒木马的重点照顾对象,如默认主页被改、默认搜索引擎被改、鼠标右键菜单被改等情况,下面采取理论结合实例的方法来谈一下这些问题的解决之道。
问题1:IE默认微软主页被修改
理论:要想修改默认的微软主页,基本思路是修改注册表中的“HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain”分支下的“Default_Page_URL”键值名。
清除招数1:通过注册表编辑器修改该项即可。
清除招数2:自动导入注册表文件。
在记事本中输入以下内容,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示一路确认即可成功导入注册表,(以下同样操作只写相关内容)
Windows Registry Editor Version 5.00
(空一行)以下同
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
问题2:主页设置功能被屏蔽
理论:修改注册表中“HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer”中的“ControlPanel”主键被删除。
清除招数1:在注册表中找到“HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer”分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
清除招数2:自动导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerControlPanel]
"HomePage"=dword:00000000
问题3:IE标题栏被添加非法信息
理论:注册表中“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”分支下的“Window Title”键值名和“HKEY_CURRENT_MACHINESoftwareMicrosoftInternet ExplorerMain”分支下“Window Title”键值名被修改。
清除招数1:在注册表中找到这两键值,将键值改名为“Microsoft Internet Explorer”,按F5刷新。
清除招数2:自动导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Window Title"="Microsoft Internet Explorer"
[HKEY_CURRENT_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Window Title"="Microsoft Internet Explorer"
问题4:IE收藏夹被强行添加非法网站链接
原理:在注册表Favorite项加入非法链接。
清除招数:打开IE收藏夹,将鼠标右键移至该非法网站链接上,鼠标右击,选择“删除”命令即可。
问题5:锁定地址栏的下拉菜单并添加文字信息
原理:在注册表“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerToolbar”分支的“LinksFolderName”键值名处添加文字信息。
清除招数:打开注册表,将其键值设为“链接”,其余字符删除。
问题6:IE“查看”菜单下的“源文件”项被禁用
原理:将“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions”分支的“NoViewSource”键值和“HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictions”分支中“NoViewSource”键值设为1。
招数1:将该键值设置为“00000000”
招数2:自动导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoViewSource"=dword:00000000
[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoViewSource"=dword:00000000
问题7:默认的IE搜索引擎被修改
原理:将“HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch”分支中“SearchAssistant”键值和“CustomizeSearch”键值更改。
清除招数1:将键值修改为需要的搜索引擎,如www.baidu.com。
清除招数2:自动文件导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch]
"SearchAssistant"="www.baidu.com"
"CustomizeSearch"="www.baidu.com"
问题8:鼠标右键菜单被添加非法网站链接
原理:在注册表“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerMenuExt”分支添加了主键。
清除招数:将该键项左边窗口中凡是属于非法链接的主键一律删除。
问题9:鼠标右键弹出菜单功能被禁用
原理:更改了“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions”分支,的“NoBrowserContextMenu”键值为1。
清除招数1:将该键值改为 “00000000”。
清除招数2:自动文件导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoBrowserContextMenu"=dword:00000000
问题10:IE默认主页被修改
这是本文中要解决的一个最大问题,因为这是恶意软件或病毒争取的重点,关乎其具体的商业利益。因些本文也把它放在最后面,即所谓的“老鼠拖木锨,大头在后头”。
理论:要想修改默认主页,基本思路是修改注册表中的“HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain”分支,找到“StartPage”键值名。但就目前而言,只是修改该项已基本上不能解决问题了。
解决方案之常用方法:
清除招数1:工具软件帮忙搞定
工具软件包括像360安全卫士或超级兔子、超级巡警等一干软件,都有相应的“IE修复”项,本文以“超级兔子”为例来说明。在“超级兔子”主界面上单击“安全”按钮,将“IE守护天使”启用,再单击“IE修复”按钮,然后在“选择修复项目”项中选择“IE浏览器的标题与首页”复选框,单击“修复”按钮即可。当然对于上面IE出现的问题,大多数都可以通过超级兔子这类工具来解决,解决不了的,需要看后面的特殊方法。
清除招数2: 修改HOSTS手动清除
通过将恶意网站加入Hosts文件的方法来解决,用记事本打开“C:WINDOWSsystem32driversetc”目录,找到“hosts”文件,将文件当中以“127.0.0.1 网址”的形式将更改的网址写入其中后保存。当然也可以使用专业的Host编辑软件来解决。
解决方案之特殊方法:
问题1:IE主页被改为6006网址导航
原理:替换IE的快捷方式,包括桌面快捷方式、快速启动栏快捷方式,修复IE关联
表现:电脑已经查不出任何病毒,每次打开ie都会跳到6006网址导航
清除招数:
Step1:鼠标右击空白桌面,选择“排列图标”/“运行桌面清理向导”,单击“下一步”按钮后,在出现对话框中选中IE,“确定”即可。接下来打开生成的桌面“未使用的桌面快捷方式”,将其文件名后的那串数字复制。
Step2:打开注册表搜索该字符串,找到后,点击打开shell/open/command修改默认值,把里面"C:Program FilesInternet Exploreriexplore.exe" 后面一大串内容都删除后确定退出。接下来在桌面重建一快捷方式即可。对于快速启动栏中的被更改快捷方式也可以采取删除后再重建的方式来完成。
问题2:IE主页被更改为http://www.kuhao123.com/
原理:通过加载进程更改IE主页
表现:IE主页可以正常更改回默认,但不久又重新被更改。
清除招数:
运行Regmon.exe后,打开浏览器,将浏览器主页改为空白或特定网址,等待IE主页重新被修改为http://www.kuhao123.com/,按Ctrl+E组合键监控,按Ctrl+F组合键,以www.kuhao123.com为关键字进行查找,这里会发现一个nudlacds.exe(随机产生的文件名)。鼠标右击该进程,选择“属性”,可以查看到该进程所属文件为C:Program FilesComplus Applications目录下,打开任务管理器,将该进程中止后将该文件删除,问题基本解决。
问题3:IE主页被改成www.9348.cn
原理:通过Rootkit技术强制锁定IE主页,添加驱动后自我保护
表现:更改IE主页后无效。
清除招数:运行XueTr,切换到“钩子”项,其中“SSDT、Shadow SSDT和内核钩子”三项中找到可疑的钩子,本例中在Hook NtQueryValueKey项中添加了Wxuye.sys驱动。选择中Hook NtQueryValueKey项后,鼠标右击,选择“恢复”,然后切换到“进程”项中,找到Wxuye.sys项,将其直接“强制删除”即可。
问题4:“苹果工具条”安装导致365j.com赖着不走
原理:通过添加进程、修改注册表、添加服务、添加登录服务、修改主页等多种方式组合
清除招数:
Step1:进入 windowssystem32 目录,删除下面的 mdwdsp.exe、scpc32.dll、rndcinst.dll 三个文件;
Step2:打开注册表编辑器,在左侧树中定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,按Ctrl+F弹出来查找对话框,在查找内容里面搜索 mdwdsp ,如果不出意外会找到一个项,右侧的 ImagePath 中包含了 “mdwdsp.exe” 字样。在左侧树中选中这个项按Delete并确认,删除它。
Step3:在左侧定位到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon ,右侧里面找到Userinit 这项。正常情况下里面只包含了 userinit.exe 这样的一个文件,如果你发现你的包含了好几个文件名,那就删掉“,....scpc32.dll”这段(中间句点表示任意字符);包含“macjie.exe”字样的段落。
Step4:在IE中重新设置首页。如果你惯于习惯使用快速启动栏,那就在快速启动栏里面的IE上面点击右键,选“属性”,在“目标”一栏删除最后的 http://www.365j.com 这样的网址,然后确定即可。
Step5:修改HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainStart Page 是默认用户的主页;修改HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand 下的“默认”命令行后的主页;修改HEKY_LOCAL_MACHINESOFTWAREClassesCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand 下的“默认网页”;将“HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shell”下的“默认”的值设为“none”,删掉下面的“open”子键。
Step6:删除注册表 HKEY_LOCAL_MACHINESoftwareXNJ键值
Step7:删掉system32下的shimgca.dll文件,删除 WindowsSystem vaccss.dll,删除 System32setacl.dll后卸载苹果工具条,然后将IE的搜索引擎更改回来。
上面只是举了几个例子,大多数的主页锁定行为基本上是上述几种手段的组合,如果觉得自己来去除比较麻烦,可以在百度中找专杀,或者“360顽固木马专杀大全查杀”之类的软件试试。
问题1:IE默认微软主页被修改
理论:要想修改默认的微软主页,基本思路是修改注册表中的“HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain”分支下的“Default_Page_URL”键值名。
清除招数1:通过注册表编辑器修改该项即可。
清除招数2:自动导入注册表文件。
在记事本中输入以下内容,以扩展名为reg的任意文件名存在C盘的任一目录下,然后执行此文件,根据提示一路确认即可成功导入注册表,(以下同样操作只写相关内容)
Windows Registry Editor Version 5.00
(空一行)以下同
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]
"default_page_url"="http://www.microsoft.com/windows/ie_intl/cn/start/"
问题2:主页设置功能被屏蔽
理论:修改注册表中“HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer”中的“ControlPanel”主键被删除。
清除招数1:在注册表中找到“HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer”分支,新建“ControlPanel”主键,然后在此主键下新建键值名为“HomePage”的DWORD值,值为“00000000”,按F5键刷新生效。
清除招数2:自动导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerControlPanel]
"HomePage"=dword:00000000
问题3:IE标题栏被添加非法信息
理论:注册表中“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain”分支下的“Window Title”键值名和“HKEY_CURRENT_MACHINESoftwareMicrosoftInternet ExplorerMain”分支下“Window Title”键值名被修改。
清除招数1:在注册表中找到这两键值,将键值改名为“Microsoft Internet Explorer”,按F5刷新。
清除招数2:自动导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]
"Window Title"="Microsoft Internet Explorer"
[HKEY_CURRENT_MACHINESoftwareMicrosoftInternet ExplorerMain]
"Window Title"="Microsoft Internet Explorer"
问题4:IE收藏夹被强行添加非法网站链接
原理:在注册表Favorite项加入非法链接。
清除招数:打开IE收藏夹,将鼠标右键移至该非法网站链接上,鼠标右击,选择“删除”命令即可。
问题5:锁定地址栏的下拉菜单并添加文字信息
原理:在注册表“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerToolbar”分支的“LinksFolderName”键值名处添加文字信息。
清除招数:打开注册表,将其键值设为“链接”,其余字符删除。
问题6:IE“查看”菜单下的“源文件”项被禁用
原理:将“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions”分支的“NoViewSource”键值和“HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictions”分支中“NoViewSource”键值设为1。
招数1:将该键值设置为“00000000”
招数2:自动导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoViewSource"=dword:00000000
[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoViewSource"=dword:00000000
问题7:默认的IE搜索引擎被修改
原理:将“HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch”分支中“SearchAssistant”键值和“CustomizeSearch”键值更改。
清除招数1:将键值修改为需要的搜索引擎,如www.baidu.com。
清除招数2:自动文件导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch]
"SearchAssistant"="www.baidu.com"
"CustomizeSearch"="www.baidu.com"
问题8:鼠标右键菜单被添加非法网站链接
原理:在注册表“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerMenuExt”分支添加了主键。
清除招数:将该键项左边窗口中凡是属于非法链接的主键一律删除。
问题9:鼠标右键弹出菜单功能被禁用
原理:更改了“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions”分支,的“NoBrowserContextMenu”键值为1。
清除招数1:将该键值改为 “00000000”。
清除招数2:自动文件导入注册表法:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoBrowserContextMenu"=dword:00000000
问题10:IE默认主页被修改
这是本文中要解决的一个最大问题,因为这是恶意软件或病毒争取的重点,关乎其具体的商业利益。因些本文也把它放在最后面,即所谓的“老鼠拖木锨,大头在后头”。
理论:要想修改默认主页,基本思路是修改注册表中的“HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain”分支,找到“StartPage”键值名。但就目前而言,只是修改该项已基本上不能解决问题了。
解决方案之常用方法:
清除招数1:工具软件帮忙搞定
工具软件包括像360安全卫士或超级兔子、超级巡警等一干软件,都有相应的“IE修复”项,本文以“超级兔子”为例来说明。在“超级兔子”主界面上单击“安全”按钮,将“IE守护天使”启用,再单击“IE修复”按钮,然后在“选择修复项目”项中选择“IE浏览器的标题与首页”复选框,单击“修复”按钮即可。当然对于上面IE出现的问题,大多数都可以通过超级兔子这类工具来解决,解决不了的,需要看后面的特殊方法。
清除招数2: 修改HOSTS手动清除
通过将恶意网站加入Hosts文件的方法来解决,用记事本打开“C:WINDOWSsystem32driversetc”目录,找到“hosts”文件,将文件当中以“127.0.0.1 网址”的形式将更改的网址写入其中后保存。当然也可以使用专业的Host编辑软件来解决。
解决方案之特殊方法:
问题1:IE主页被改为6006网址导航
原理:替换IE的快捷方式,包括桌面快捷方式、快速启动栏快捷方式,修复IE关联
表现:电脑已经查不出任何病毒,每次打开ie都会跳到6006网址导航
清除招数:
Step1:鼠标右击空白桌面,选择“排列图标”/“运行桌面清理向导”,单击“下一步”按钮后,在出现对话框中选中IE,“确定”即可。接下来打开生成的桌面“未使用的桌面快捷方式”,将其文件名后的那串数字复制。
Step2:打开注册表搜索该字符串,找到后,点击打开shell/open/command修改默认值,把里面"C:Program FilesInternet Exploreriexplore.exe" 后面一大串内容都删除后确定退出。接下来在桌面重建一快捷方式即可。对于快速启动栏中的被更改快捷方式也可以采取删除后再重建的方式来完成。
问题2:IE主页被更改为http://www.kuhao123.com/
原理:通过加载进程更改IE主页
表现:IE主页可以正常更改回默认,但不久又重新被更改。
清除招数:
运行Regmon.exe后,打开浏览器,将浏览器主页改为空白或特定网址,等待IE主页重新被修改为http://www.kuhao123.com/,按Ctrl+E组合键监控,按Ctrl+F组合键,以www.kuhao123.com为关键字进行查找,这里会发现一个nudlacds.exe(随机产生的文件名)。鼠标右击该进程,选择“属性”,可以查看到该进程所属文件为C:Program FilesComplus Applications目录下,打开任务管理器,将该进程中止后将该文件删除,问题基本解决。
问题3:IE主页被改成www.9348.cn
原理:通过Rootkit技术强制锁定IE主页,添加驱动后自我保护
表现:更改IE主页后无效。
清除招数:运行XueTr,切换到“钩子”项,其中“SSDT、Shadow SSDT和内核钩子”三项中找到可疑的钩子,本例中在Hook NtQueryValueKey项中添加了Wxuye.sys驱动。选择中Hook NtQueryValueKey项后,鼠标右击,选择“恢复”,然后切换到“进程”项中,找到Wxuye.sys项,将其直接“强制删除”即可。
问题4:“苹果工具条”安装导致365j.com赖着不走
原理:通过添加进程、修改注册表、添加服务、添加登录服务、修改主页等多种方式组合
清除招数:
Step1:进入 windowssystem32 目录,删除下面的 mdwdsp.exe、scpc32.dll、rndcinst.dll 三个文件;
Step2:打开注册表编辑器,在左侧树中定位到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,按Ctrl+F弹出来查找对话框,在查找内容里面搜索 mdwdsp ,如果不出意外会找到一个项,右侧的 ImagePath 中包含了 “mdwdsp.exe” 字样。在左侧树中选中这个项按Delete并确认,删除它。
Step3:在左侧定位到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon ,右侧里面找到Userinit 这项。正常情况下里面只包含了 userinit.exe 这样的一个文件,如果你发现你的包含了好几个文件名,那就删掉“,....scpc32.dll”这段(中间句点表示任意字符);包含“macjie.exe”字样的段落。
Step4:在IE中重新设置首页。如果你惯于习惯使用快速启动栏,那就在快速启动栏里面的IE上面点击右键,选“属性”,在“目标”一栏删除最后的 http://www.365j.com 这样的网址,然后确定即可。
Step5:修改HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMainStart Page 是默认用户的主页;修改HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand 下的“默认”命令行后的主页;修改HEKY_LOCAL_MACHINESOFTWAREClassesCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand 下的“默认网页”;将“HKEY_CLASSES_ROOTCLSID{20D04FE0-3AEA-1069-A2D8-08002B30309D}shell”下的“默认”的值设为“none”,删掉下面的“open”子键。
Step6:删除注册表 HKEY_LOCAL_MACHINESoftwareXNJ键值
Step7:删掉system32下的shimgca.dll文件,删除 WindowsSystem vaccss.dll,删除 System32setacl.dll后卸载苹果工具条,然后将IE的搜索引擎更改回来。
上面只是举了几个例子,大多数的主页锁定行为基本上是上述几种手段的组合,如果觉得自己来去除比较麻烦,可以在百度中找专杀,或者“360顽固木马专杀大全查杀”之类的软件试试。