“頑固”的IE竄改元凶 www.sq120.com推薦
打開IE“屬性→常規→主頁”,將“http://www.網站地址.com”修改為自己習慣的主頁,以為事情就這麼簡單處理就完了,可下次開機時發現IE的首頁又被竄改為“http://www.網站地址.com”,這個網站看上去也很正規,但是它如此“強奸民意”實在是討厭,於是決定要揪出竄改IE首頁的元凶。
IE首頁的更改是通過修改注冊表的鍵值來實現的,要想從根本上將IE首頁修改回來,還要從注冊表入手,於是打開“開始→運行”,輸入“regedit”,打開注冊表編輯器,然後按 F3鍵打開搜索窗口,並選擇“查看”中的“項”、“值”、“數據”項,輸入“http://www.網站地址.com”後搜索,果然在注冊表中發現好多相關的鍵值,將它們全部刪除掉,本以為這樣處理應該是萬無一失,可再次開機時,IE的首頁仍舊被竄改。
發現元凶,一舉擒拿
我整理了一下思路,首先,要修改浏覽器首頁必定要修改注冊表。但是刪除全部相關注冊表鍵值後,IE首頁仍然被竄改。TW.WInGWIT.cOm那麼有一個可能,就是它在注冊表中有自啟動項。
看來這個竄改元凶還真不可小瞧,於是我重點對注冊表啟動相關鍵值進行檢查,果然在HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下以及在HKEY-LOCAL-USER\Software\Microsoft\Windows\CurrentVersion\Run下發現了數據值為“ regedit -s C:\$NtUninstallQ887678$\WINSYS.cer”的“win32”字符串,將這三項啟動項全部刪除。
然後在資源浏覽器中打開“工具→文件夾選項→查看→將顯示所有文件夾選中”,再將“隱藏受保護操作系統文件” 前的鉤去掉,這樣在C盤根目錄下就找到了“$NtUninstallQ887678$”文件夾,將該文件夾刪除,重新啟動系統,IE首頁不再被竄改。擒拿元凶成功。
這個元凶的確很狡猾,當我們點“否”的時候,就下載了病毒文件,並作為系統文件隱藏起來,給手動清除添加障礙,同時還利用“regedit -s” 這個命令參數使得它在系統啟動時不出現任何提示。而且它是自動導入修改注冊表,使得我們修改後的注冊表再次被竄改。不過再狡猾的狐狸也逃脫不過獵人的眼睛,只要我們理清思路,還是很容易將它緝拿歸案的。
大多數網友都會遇到顏廷柱朋友的這種情況,很多網站特別是個人網站喜歡使用一些近似於“流氓”的手法,強行修改我們的IE默認首頁。對於這種情況,除了使用前文中提到的方法外,我們還可以使用超級兔子魔法設置等系統優化工具對IE的首頁進行恢復。同時使用超級兔子魔法設置的惡意插件清理工具,將非法進入我們系統竄改IE首頁的元凶清理出去。
From:http://tw.wingwit.com/Article/Network/201309/964.html