IE被恶意修改后如何处理

equinox

今天台机IE被恶意修改，找了这篇文章，可解决

上网浏览一“积分网页”后，每次打开浏览器都会自动登录到这个网页，并且每当进入别的网址时总是在IE的标题栏中先出现此网页的地址，然后才显示正在登录的网页地址提示信息，原本认为是恶意代码修改了IE浏览器中的主页地址，可没想到的是，当打开“工具栏”时却发现“Internet选项”不见了，情急之下想打开注册表看个究竟，当在“开始”菜单的“运行”中输入“regedit”，运行后却跳出一个“管理器已被管理员禁止”的对话框。
看来此恶意的代码的主要意图就是，每当你开机后，浏览器自动登录到其主页上，为防止用户自行修改主页地址，把“Internet选项”给屏蔽了，但更高明的是，为了防止用户在注册表中进行修改干脆把注册表也给禁止了。我当时的感觉是“贼进了我的屋，反把我锁在了门外！”看来当前最迫切的是想办法打开注册表，然后恢复“Internet选项”及修改“WinTitle”。当然了，如果你不嫌费事，把机器格式化，然后重装系统也是个办法。
重新打开注册表关键是如何把注册表中的“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System”中的一个键名叫“DisableRegistryTools”的十六进制的值由1改为0，1为禁止，0为允许。万幸的是，恶意代码并没有禁止系统对.reg文件的允许，笔者用Windows中的记事本做了一个打开注册表的钥匙：
REGEDIT4
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
最后存盘为enable.reg。注意：文件扩展名一定要用．ｒｅｇ，这是注册表默认的扩展名。
不过，要记住这么长的键名也不是一件容易的事，最后的办法是找一台别的机器，运行“regedit”，找到“HKEY_USERS\DEFAULT\Software\Microsoft\Windows\C-
urrentVersion\Policies\System”主键，在右边的窗口中创建一个DOWRD值“DisableRegistryTools”，这时默认值为“0”，即允许使用注册表编辑器。可利用注册表的“导出注册表文件”功能，将当前分支导出到某一特定目录，命名为enable.reg存盘。
钥匙做好了，在机器上运行，选择“是”，这样注册表就可以用regedit打开和修改了。
然后就可根据下面的文章来进行IE的恢复了。
最近这段时间网民们上网冲浪时常常会碰到一件令人反感的事，就是在浏览一些网站?多为个人主页?后IE浏览器的标题栏被篡改成了诸如“欢迎访问……网站”的字样，IE的起始页、主页默认页也被设置成了那些网站的网址，更有甚者在访问者的IE右键菜单中加入了那些网站的名字。这都是那些网站为了宣传自己的网站通过在网页中嵌入JavaScript脚本语言来修改浏览者的注册表中相应的键值造成的，让我们这些“网虫”很烦。那我们怎样恢复IE的“本来面目”呢？让我们将其“个个击破”。

篡改IE标题栏
症状：IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段，受害者众多。
涉及子键：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Window Title
说明：这两个“Window Title”子键的键值就是IE标题栏中的标题。
修复方法：运行注册表编辑器regedit.exe，展开上述两个子键，将这两个子键的键值修改为“Microsoft Internet Explorer”
(IE默认值)，或者你也可以将键值改为像“我的专用浏览器”这样体现个性的标题，重新运行IE就可以看到效果了。怎么样？是不是感到很亲切？

篡改IE起始页
症状：这里所说的IE起始页就是一运行IE就会自动打开的网页，也就是说起始页被改成了篡改网站的网址。
涉及子键：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
说明：这个子键的键值就是IE起始页的网址。
修复方法：运行注册表编辑器，展开上述子键，将“Start Page”子键的键值修改为某个网址即可。如果你不想一运行IE就自动打开某网页的话，你可以将IE起始页设为空白页，即将“Start Page”子键的键值修改为“about?blank”，重新运行IE就可以看到效果了。其实也可以通过IE的选项设置来更改IE的起始页，设置方法：点击“工具/Internet选项”，在“主页”中输入起始页。
特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。修复方法：运行注册表编辑器regedit．exe，然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry．exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。

篡改IE起始页的默认页
症状：有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。
涉及子键：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\Default_Page_URL
说明：该子键的键值即起始页的默认页。
修复方法：运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

篡改IE默认的搜索引擎
症状：在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。
涉及子键：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Search\SearchAssistant
修复方法：运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。

篡改IE右键菜单
症状：当你在浏览网页的时候右击鼠标的时候在弹出菜单中有一项“欢迎访问……网站”的话你会怎样？是不是有一种恶魔缠身的感觉？
涉及子键：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\欢迎访问……网站
说明：“MenuExt”主键是IE扩展菜单项的控制主键，如果你机器里安装了网际快车或者网络蚂蚁的话，在这个子键下面就能看到“使用网际快车下载”这样的子键啦。
修复方法：运行注册表编辑器，开上述主键，在“MenuExt”主键下面就会有“欢迎访问……网站”相似内容的主键，将其删除，但是在删除之前你可以展开这个主键看一下，在这里面有一个链接打开一个HTML文件的子键，看看这个文件路径，然后根据路径将这个文件也删除(注意，这个HTML文件被设置了隐藏属性，从菜单选择“查看/文件夹选项/查看页/显示所有文件”即可看见它啦！)。这样才彻底清楚干净，是不是有种如释重负的感觉？呵呵！

系统启动时弹出对话框
症状：开机时，会弹出推荐网站“欢迎访问http://www……”样式的窗口。进入系统后，会自动打开IE浏览器，自动访问默认主页http://www…… 并且无法更改。
涉及子键：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Winlogon\LegalNoticeCaption
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Winlogon\LegalNoticeText
说明：其实这个主键与IE并不相关，而是Windows登录提示对话框的控制项。
修复方法：运行注册表编辑器，然后依次展开上述主键，将“LegalNoticeCaption”和“LegalNoticeText”主键删除就万事大吉啦。

小结
上面介绍了几种篡改手段所涉及到的子键以及恢复方法，但是有些篡改网站所涉及的子键以及放置自启动程序的路径会不尽相同或者还有新的篡改“技术”出现，那怎么办？不要紧，我们还有一招，可以以不变应万变。当你不清楚它们修改了注册表哪个子键的时候，你可以“透过现象看本质”，进入注册表编辑器，然后按“F3”键打开“查找”，查找内容就是那个篡改网站的网站名或者网址，当找到后你可以对相应键值或删除或修改，然后再按“F3”键“查找下一个”，直到将它们清理干净了才罢休。对于设置了自运行程序或者设置了文件链接的情况，你还要根据文件路径顺藤摸瓜直捣黄龙得而诛之以图后快，呵呵！
当然最治标治本的方法就是那些做网页的“大虾”朋友能够早日良心发现迷途知返，让我们这些小小“菜鸟”上网的时候多些安全感啊，不然真的成了惊弓之鸟啦！以上这
些就是近来“流行”的篡改手段的大揭密，希望对大家有一点作用，欢迎来信多多交流。

jpowe

http://assistant.3721.com/top.htm（IE修复）

andy_skiff

3721是垃圾.....

夜带水果刀

嘿嘿，有的连ｒｅｇ文件都禁止了，这样就不能通过写ｒｅｇ文件来改
不过还是可以在ｄｏｓ下用ｒｅｇ命令改回来

前阳台

可恨的是在我的收藏夹里，加了一些乱七八糟的连接，每次删了以后，重起又有。

azhar

说句门外话，我还觉得3721上网助手真不错，大概我遇到的问题不是很严重，只是修改了主页，而且更改一栏变灰，登陆3721点一下马上就好了。

puma

由衷感谢equinox高手，终于把注册表里面深藏的两个恶意网址给灭掉了。

丁香花籽

个人感觉，几乎能彻底干掉，垃圾，但喜欢

[ Last edited by 丁香花籽 on 2004-2-2 at 11:58 ]

db2001

3721是以毒攻毒。。。。把自个的东东换到那个恶意主页改你电脑的地方了。。哈哈。。厉害的

chinaboy

象上面提及的网站还是比较仁慈的，仅修改注册表而已，完全可以通过禁用注册表远程修改来对付。
更恶劣的行径是用VBScript写一段脚本，打开网页时在系统中自动安装一个守护进程，然后在每次启动时运行它，无论怎样改注册表都没有用，你一改，下次启动时又被它改回来。诺顿升级到最新版后能杀死很多种此类VBS，如比较流行的startpage.vbs。