筆者的電腦運(yùn)行速度越來越慢，系統(tǒng)經(jīng)常彈出奇怪的警告窗口。于是決定重新安裝系統(tǒng)，安裝過程很順利，當(dāng)安裝完畢后，系統(tǒng)的運(yùn)行速度果然飛快。但是，當(dāng)打開IE后，卻發(fā)現(xiàn)里面可謂亂七八糟，收藏夾中充斥著垃圾網(wǎng)址，工具欄上按鈕凌亂，而且自動打開某個內(nèi)容雜亂的網(wǎng)頁。將IE整理干凈，筆者頗有信心，于是將收藏夾中垃圾網(wǎng)址清除，將雜亂的IE加載項，BHO插件等刪除。但是，當(dāng)試圖恢復(fù)被綁架的IE主頁時，卻遇到了不小的麻煩，在IE選項窗口中發(fā)現(xiàn)和主頁相關(guān)的內(nèi)容和按鈕全部處于灰色狀態(tài)，無法對其進(jìn)行修改，默認(rèn)的主頁為“www.5258.cc”。

　　1.使用常規(guī)方法，無法為IE主頁“松綁”

　　筆者請出了金山急救箱這款安全利器，對系統(tǒng)進(jìn)行安全掃描，果然發(fā)現(xiàn)一些IE被非法竄改的項目，執(zhí)行修復(fù)操作，原以為這樣可以解決問題，不過奇怪的是打開IE后，主頁依然被鎖定。換用諸如QQ安全管家的修復(fù)工具，也無法拯救IE主頁?？紤]到和IE主頁相關(guān)的設(shè)定信息全部保存在注冊表中，筆者決定親自動手，將IE主頁調(diào)整回來。

　　運(yùn)行RegistryWorkShop這款注冊表專業(yè)編輯工具，在其主界面中點(diǎn)擊菜單“Search”-“Find”項，在搜索窗口中的“Findwhat：”欄中輸入“www.5258.cc”，點(diǎn)擊“Find”按鈕，執(zhí)行搜索操作，RegistryWorkShop搜索速度極快，果然在窗口底部的檢測列表中發(fā)現(xiàn)6處相關(guān)的注冊表項目遭到非法修改。接著點(diǎn)擊“Ctrl+R”項，在替換窗口中的“Replacewith”欄中輸入“www.baidu.com”，點(diǎn)擊“Replace”按鈕，執(zhí)行替換操作，即將原來的垃圾網(wǎng)址替換為指定的網(wǎng)址。當(dāng)Registry WorkShop替身替換成功后，筆者打開IE，覺得主頁應(yīng)該已經(jīng)變成自己需要的地址了。但是，網(wǎng)址“www.5258.cc”依然“頑固”地占據(jù)著主頁，自動打開的還是垃圾頁面。

　　2.發(fā)現(xiàn)端倪，尋找綁架主頁的“幕后黑手”

　　看來，僅僅依靠安全工具，或者對注冊表進(jìn)行修復(fù)是無法解決問題的，一定有流氓程序在后臺運(yùn)行，對注冊表的變動情況進(jìn)行監(jiān)視，當(dāng)發(fā)現(xiàn)IE主頁被修復(fù)后，立刻對注冊表進(jìn)行惡意修改，恢復(fù)對IE主頁的控制權(quán)。筆者運(yùn)行“msconfig.exe”程序，在系統(tǒng)配置窗口中的“啟動”面板中仔細(xì)查看，果然發(fā)現(xiàn)名為“Printer Services”的啟動項比較可疑，與其關(guān)聯(lián)的程序名為“HPGuard.exe”，位于“C：Users Administrator App Data Roaming HP Guard”文件夾中。從名稱上看，似乎是與HP打印機(jī)相關(guān)的程序，但是本機(jī)上并沒有安裝任何打印機(jī)。筆者打開命令提示符窗口，執(zhí)行“taskkill/imhpguard.exe/f”命令，將該可疑進(jìn)程關(guān)閉。之后按照上述方法，對注冊表進(jìn)行修復(fù)，發(fā)現(xiàn)IE的主頁終于恢復(fù)正常了。

　　3.清除流氓程序，自由設(shè)置IE主頁

　　進(jìn)入該程序的目錄中，果然發(fā)現(xiàn)其并非善類，打開其中名為“Home Page.ini”的文件，發(fā)現(xiàn)其中分別針對IE、谷歌瀏覽器、世界之窗瀏覽器、360安全瀏覽器、QQ瀏覽器、搜狗瀏覽器等大家常用的瀏覽器，設(shè)置了惡意綁架網(wǎng)站以及對應(yīng)的命令行參數(shù)?？磥?，該惡意程序不僅綁架IE，還綁架其他的常用瀏覽器。打開“ShutCut.ini”文件，發(fā)現(xiàn)其特別針對360安全瀏覽器，進(jìn)行了“貼心”的設(shè)計，包括對360安全瀏覽器個人桌面、公共桌面、任務(wù)欄等項目，分別進(jìn)行了路徑設(shè)定，“精心”為其預(yù)備了名為“daohang.5258.cc”的惡意網(wǎng)址。可以肯定，對于使用360安全瀏覽器的用戶來說，一定頻繁遭到其騷擾。該目錄中的“HpHook.dll”文件可能是封裝惡意代碼的動態(tài)庫。不過，打開其中的“$$a$$.bat”批處理文件，發(fā)現(xiàn)這是一個卸載程序，看來惡意程序的“開發(fā)者”還有些良知，允許用戶卸載該惡意程序。了解以上原理后，先將“HPGuard.exe”進(jìn)程關(guān)閉，之后刪除該目錄，最后清除名為“Printer Services”的啟動項，這樣終于將IE恢復(fù)正常了。至于IE選項窗口中和主頁相關(guān)的“使用當(dāng)前頁”、“使用默認(rèn)值”、“使用空白頁”等項被鎖定呈灰色顯示的情況，需要運(yùn)行“regedit.exe”程序，打開“HKEY_CURRENT_USER Software Policies MicrosoftInternet Explorer Control Panel”、“HKEY_USERS.DEFAULT Software Policies MicrosoftInternet Explorer Control Panel”、“HKEY_USERSS-1-5-18 Software Policies MicrosoftInternet Explorer Control Panel”等分支，分別將其右側(cè)的名為“Home Page”的鍵值設(shè)置為0，就可以擺脫上述限制了。

　　4.清理不法驅(qū)動文件，恢復(fù)IE正常功能

　　一般來說，當(dāng)發(fā)現(xiàn)IE主頁被綁架后，可以打開注冊表編輯器，點(diǎn)擊“Ctrl+F3”鍵，輸入惡意網(wǎng)址內(nèi)容，對注冊表進(jìn)行全面搜索，發(fā)現(xiàn)并清除隱藏惡意網(wǎng)站的鍵值。但是，有些惡意網(wǎng)址可能會被進(jìn)行加密處理，例如對于“www.5258.cc”網(wǎng)址來說，經(jīng)過加密后，會變成“http：//%77%77%77%2E%35%32%35%38%2E%63%63/”字樣，隱藏在特定的注冊表鍵值中，則很難搜索到。為此可以運(yùn)行Sreng這款安全工具。在其主界面左側(cè)點(diǎn)擊“智能搜索”按鈕，點(diǎn)擊“掃描”按鈕，操作完畢后，將掃描結(jié)果保存為獨(dú)立的文件。在該文件中的“瀏覽器加載項”部分就很容易發(fā)現(xiàn)加密后的惡意網(wǎng)址，以及對應(yīng)的注冊表位置，進(jìn)入可以將其找到并清除。

　　對以上拯救IE主頁的實(shí)例分析，可以看到，越來越多的惡意程序已經(jīng)不滿足于對注冊表進(jìn)行簡單修改，來實(shí)現(xiàn)對IE的劫持，而是采用更加高級的手段進(jìn)行破壞活動。例如，其可能采用創(chuàng)建驅(qū)動程序的手法，從底層侵入系統(tǒng)，這樣，當(dāng)系統(tǒng)啟動后，就會自動加載該不法驅(qū)動模塊，當(dāng)其被激活后，就會對IE主頁以及其他配置項目進(jìn)行竄改，即使您對注冊表進(jìn)行全面搜索，也無法發(fā)現(xiàn)其蹤跡。利用AutoRuns這款安全工具，可以看穿其真面目。

　　在AutoRuns主界面中打開“驅(qū)動”面板，可以顯示所有的驅(qū)動模塊。對于可疑模塊，AutoRuns會以黃色進(jìn)行標(biāo)識。對于危險性高的模塊，AutoRuns會以紅色進(jìn)行標(biāo)識，對其進(jìn)行比較分析，可以很容易發(fā)現(xiàn)其中的不法分子，對于拿不準(zhǔn)的模塊，可以在其右鍵菜單上點(diǎn)擊“在線搜索”項，對其進(jìn)行詳細(xì)分析。對于確認(rèn)的不法驅(qū)動模塊，可以在其右鍵菜單上點(diǎn)擊“刪除”項，將其清除。也可以進(jìn)入WinPE環(huán)境，來刪除對應(yīng)的垃圾驅(qū)動文件。為了防止出錯，可以先點(diǎn)擊“跳轉(zhuǎn)到文件夾”項，將對應(yīng)的驅(qū)動文件復(fù)制出來，如果刪除出錯可以及時恢復(fù)。

　　5.刪除惡意DLL模塊，讓IE遠(yuǎn)離騷擾

　　此外，惡意程序還會采用將特制的DLL動態(tài)庫注入到IE進(jìn)程中，來動態(tài)地綁架IE主頁。對此可以運(yùn)行PowerTool這款安全工具，對進(jìn)程進(jìn)行仔細(xì)檢查，來發(fā)現(xiàn)問題所在。例如，當(dāng)發(fā)現(xiàn)IE設(shè)置被竄改，使用正常方法無法修復(fù)時，可以運(yùn)行PowerTool，在其主界面中打開“進(jìn)程管理”面板，在進(jìn)程列表中選擇“iexplorer.exe”，在窗口底部的“模塊”欄中仔細(xì)查找，就很容易發(fā)現(xiàn)可疑的DLL文件。

　　清除的方法是關(guān)閉IE，然后再打開其存儲的路徑（例如“C：Windows system32”等），找到該DLL文件并對其更名或者刪除，并重啟系統(tǒng)就可以恢復(fù)IE正常設(shè)置項目了。有時，當(dāng)您在修改IE快捷方式各項屬性時，系統(tǒng)會彈出“無法將所做的改動保存到InternetExplorer.lnk拒絕訪問”的提示，表明惡意程序?qū)⒃摽旖莘绞皆O(shè)置成了只讀屬性，只需將其屬性恢復(fù)到正常狀態(tài)，就可以進(jìn)行所需的調(diào)整操作了。

　　6.恢復(fù)IE主頁的其它小技巧

　　此外，惡意程序也可能將相關(guān)路徑的屬性設(shè)置為只讀，例如將“C：Documents and SettingsAdministrator桌面”、“C：Documentsand SettingsAdministratorApplicationDataMicrosoftInternet ExplorerQuickLaunch”等特殊文件夾設(shè)置為只讀屬性，同樣可以阻擋用戶恢復(fù)IE快捷方式的相關(guān)屬性。如果出現(xiàn)無法取消只讀屬性的問題，說明權(quán)限設(shè)置被惡意修改。在上述文件夾屬性窗口中的“安全”面板檢查當(dāng)前用戶是否擁有對該文件夾的完全控制、修改等權(quán)限，設(shè)置好合適的權(quán)限后，再對其進(jìn)行修改。

　　如果對注冊表進(jìn)行修改時，系統(tǒng)彈出錯誤提示的話，這說明惡意程序?qū)ο嚓P(guān)注冊表鍵值的權(quán)限進(jìn)行了封鎖，為此可以在對應(yīng)子健的右鍵菜單上點(diǎn)擊“權(quán)限”項，針對當(dāng)前賬戶啟用“完全控制”和“讀取”兩項權(quán)限。如果惡意程序?qū)?dāng)前賬戶從權(quán)限列表中刪除，則需要點(diǎn)擊“高級”按鈕，之后添加當(dāng)前賬戶，然后賦予其權(quán)限，就可以正常操作注冊表了。此外，如果在Windows7等系統(tǒng)中遇到桌面上IE圖標(biāo)無法刪除和修改的話，很可能是惡意程序?qū)E快捷方式設(shè)置為共享狀態(tài)的緣故，處于共享狀態(tài)的快捷方式是無法被刪除的。處理方法很簡單，打開IE快捷方式的共享設(shè)置界面，將其共享屬性消除，之后就可以對其進(jìn)行修改或刪除操作。

　　文/劉景云

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……