如何修复被劫持、篡改的IE主页

梦游猫子

鉴于一些人，可能黄金大劫案不愿意看完全文，写个杨幂暗恋谢霆锋？内容提要在前面，给一张杰“贪污”粉丝钱些懒人看，另外，你们黄金大劫案不？我尽量改得通俗一[url=http://finance.jrj.com.cn/consumer/2011/12/07085911742933.shtml]海清大尺度照[/url？我尽量改得通俗一点，或作一些解释，别放弃，如果用什么软件一键搞定，这问题就不会如此泛滥了，但总有希望，搞清楚规律就能解决：

篡改、劫持IE主页的方法与解决：

1、2、修改注册表，强制访问，可通过在注册表中搜索网址的的方法修复

3、在浏览器快捷方式的属性中添加网址，删除添加部分

4、病毒、木马，通过各种启动项、插件加载，防比杀容易

5、右键菜单加载，也在注册表中

6、软件捆绑，卸载软件再修复

7、修改HOSTS，不常见

总结，推荐注册表搜索法与工具修复法（如360），可选的是HOSTS屏蔽法。

另外还有一种可能，就是网址加密或转换，这样你在注册表中搜索劫持网址的关键字，就可能找不到，因此要会变通，既然都是通过ie调用，就直接搜索IE的程序名“iexplore.exe”或IE所在的目录文件夹名“Internet Explorer”，再或者把它们结合起来搜索，然后再检查其中的键值是否有可疑项，如上面说的command或open之类的值中有没有疑似网址的东西，将其删除，或者对照其它电脑的注册表，将可能是新增的、非系统原有的注册表项整个删除，就是你找到的可疑确认项“iexplore.exe”或“Internet Explorer”的上级。继续提醒，删除任何注册表项前请注意备份。

　　这种搜索注册表的方法也适用于第1种情况。

3、浏览器快捷方式的属性也是重点地区，而且容易被忽略。以IE为例，它的快捷方式可能位于桌面（注意我指的是快捷方式，就是图标左下角带有小箭头的那种，当然也可能不带小箭头）和快捷启动栏（开始菜单按钮的右边），右击IE的快捷方式图标－属性，转到“快捷方式”页，检查“目标”一栏，正常情况下这里是只有ie程序名，而不会带有任何网址，如果此处出现了某个网站地址，基本就是你每次打开IE时看到的劫持IE的网站了。此时尽管你的的IE主页上设置的是空白页或其它网址，只要你双击修改过的IE快捷方式打开浏览器，出现的只会是快捷方式属性中网址。

　　解决方法：去掉快捷方式属性的目标中的网站地址，或者直接删除快捷方式，重新建立浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改，不要遗漏。如果遇到删除后又被加上网址的现象，同上面说的一样，有木马病毒进程在监控。

4、正如上面说的，如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为，修复就不那么容易。要找出它们，应注意各种启动项和加载项上，如注册表启动项、开始菜单中程序的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前，我们要做的就是清除这些恶意程序（或直接叫它们木马、病毒），由于此类项目变种很多，所以不一定是杀毒软件以及所谓专杀木马的软件（题外话，其实杀木马与杀毒并不必严格划分，所谓专杀木马并不见得比杀毒软件强多少）所能发现与清除的，虽然还是规律可寻的，比如发现的启动项并不是自己所安装的应用程序、也不是系统文件，自然就有嫌疑；再如有的IE插件，它引用的文件名是有8位以上的字母随机重合成的，明显不象好人（如果病毒、木马都这么明显就好了，可惜……）。

　　如果你对电脑熟悉可以尝试手动查杀，如果不是太熟，可借助360、windows清理助手等工具，当然也包括杀毒软件来清理，这就不多说了，涉及手动杀毒，难度有点大了。

　　但杀虽然困难，防却可以简单，一些主动防御或带主动防御的杀毒软件、HIPS等都能对安装插件或添加服务、驱动进行监控并提示用户，狠一点的干脆就直接禁止了（此举可能导致某些正常的应用软件无法安装和运行，包括安全工具）。如何判断是否放行，就要看你是否正在装或运行软件，前提是你知道你在装与在用的软件是正常的，没有搭配木马或病毒；还有关于插件的安装，如无必要，一般不要安装什么插件，特别在某些陌生的网站上的插件尽量不要装，除非你确切知道它是干什么的，如支付宝、网银等。没有一劳永逸的方法，要学会自己判断分析。

如遇此种情况，且使用360、windows清理助手及各种杀毒软件修复仍无效，需要在数动论坛病毒版进行求助者，请下载SREng扫描日志贴上来(如日志在帖中不能正常显示，可以传附件或重新编辑原帖去掉日志开头的“code”，除此外请保持日志内容完整)，SREng下载及扫描方法见下方红色链接


5、除了上面说到的加载方法，还有一个位置，就是右键菜单，曾经从360论坛那里看到的一个右键菜单加载的例子，这个注册表的位置是SREng日志扫描不出来，而用狙剑却可以扫出来。我也不相信右键菜单能够加载dll文件，但是后来在电脑报论坛发现一个右键菜单加载错误导致explorer.exe关闭的求助，才发现这个右键菜单不简单。不过具体原因还是不大明白，谁知道的或有空的试验下。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers

6、软件捆绑，这是那些劫持、篡改“IE主页”的各种方法中无奈的一种，软件作者们为了收益捆绑了某网站，要用他们的软件就要打开该网站或设其为主页。对共享软件作者与推广网站而言是双赢，对用户则是两难，要用软件、要玩游戏吧，又得忍受不请自来的网站霸占IE；想保持IE的纯净，又用不了软件或游戏。对此，建议软件、补丁作者给予用户选择权，不要每次使用都改IE，或注明捆绑，让用户知道、选择，也省得不明真相的用户以为中毒了，到处求助。给安全论坛添加麻烦。对于用户如果发现IE被改，想想最近是否是下载或使用了什么软件、游戏，卸载它们或卸载后再修复看看能不能恢复原来的IE状态，而在下载与安装软件时也要看清楚说明再点下一步。当然这是废话，这里说了也是白说，当我做梦好了。

7、修改HOSTS，一般用于拦截访问网站，但也可以用于控制访问的转向，不过似乎这个情况并不常见，如果真的HOSTS被修改，可以手动修复，HOSTS位于c:\windows\system32\drivers\etc\默认该文件中只有一句：“127.0.0.1  local”，注意开头带“＃”的表示这一行是注释行，不起作用。如果你使用了360或电脑报的反黑榜之类的HOSTS文件，自然内容与上述的不同，请注意区别。另外某些工具也有重置与恢复HOSTS的功能，如SREng。不多说了，这个确实不常见，而且也是杀毒软件与各工具重点盯防的地方，正常操作也会报警，一般比较安全。

　　总结，差不多就这些了，如果你有新鲜的可以补充。总之，没有人会喜欢被人绑架电脑、强迫访问不愿意去的网站，当然如果你真的在强迫中喜欢上了那个网站，从而真的愿意把它当作主页，那也没办法。