最近遇到一台主机的IE首页被改成了qq5.com,试了很多工具,诸如360、瑞星卡卡、金山清理等,都不好用完全没效果,于是疯狂百度这个恶意修改主页的资料,整理出来,加点自己的心得体会,算是集大家之所长吧。
问题的根源是安装了某个插件,而这台电脑可能是安装了苹果工具栏而被恶意插件钻了空子,下面说解决之法:
首先就是要卸载掉所安装的插件,
删除苹果工具栏。
1、到程序所在文件夹中(C:\Program Files\苹果工具)条双击“uninst.exe”卸掉程序。删除其他文件
2、检查C:\Program Files下,删除"苹果工具栏"的文件,如果掉不掉,启动冰刃,建议这些操作在安全模式下动手。
开始-运行-regedit 打开注册表:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D},也可直接Ctrl+f输入{871C5380-42A0-1069-A2EA-08002B30309D},
找到:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
双击右面的默认项目,会看到下面的信息:“C:\Program Files\Internet Explorer\IEXPLORE.EXE ” http;//www.qq5.com。直接将http;//www.qq5.com删掉,F5刷新 ok
另一个需要修的是在IE首页的注册表,文件是放在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的,而这个子键的键值就是IE首页的网址。它是可以修改的,用户可以改为自己常用的网址,或是改为“about:blank”,即空白页。
做到这里还不成,个人建议暂时不要启动IE查看,还有很多的事要做呢,即使是在安全模式下也不要偿试开IE。
做到这里,理论上是可以修改好了,但是可能你在重启电脑以后,发现包括注册表之类的又全部改回去了,这也是为什么我不让你启动IE的原因,因为恶意插件在系统的服务里面还加载了一些东西。具体这个插件是放在哪在服务里面启动的,就需要一定的经验了,你要去查看并且对比服务启动里面有哪些是不正常的,因为不确定是服务启动SYSTEM32下面哪一个文件,除了经验丰富的老手可以看出来以外,一般的做法是利用360的“系统服务状态”查看,隐藏掉系统安全项以后,剩下的就相对方便查看了,其中利用比较多的是MSCONFIG这个文件,虽然这个文件是系统中的一个正常文件,但是放在SYSTEM32下面就不正常了,正常的位置是在C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe,如果你在SYSTEM32下面发现了这个文件,杀之,对于不明启动的服务项,在360里面一般都显为没有启动,这里就可以利用系统的SC删除掉服务,用法是SC delete "服务名称"。
清除掉服务以后,要清理一下系统的启动项目,360下面也可以查看的,清掉不明启动程序,然后再记得用杀毒软件在SYSTEM32下面狂扫一通,肯定能灭掉一些不干净的东西。我在网上所搜到的可能涉及到的病毒名称有这些:
C:\WINDOWS\system32\WMSysPr9.prx
C:\WINDOWS\system32\meassrv.exe
C:\WINDOWS\system32\mcvcea.exe
C:\WINDOWS\system32\msconfig.exe
最后要做的可能是在网上还没有人注意到的,我在网上找了很多资料,基本上都没什么人提到过,就是在组策略里面有一个策略启动要清除掉,我清除的时候没有截图,就报个位置吧;运行:gpedit.msc,找到:计算机配置》WINDOWS设置》安全设置》本地策略》用户权利指派 中的“作为批处理作业登录”,双击打开。如果有发现异常,请杀之。一般情况下,这个策略里面都是一些用户组的用户,但是病毒可能会利用这个策略把之前所提到的{871C5380-42A0-1069-A2EA-08002B30309D}这个注册表加载到这里面作为启动。杀之绝不会错。
要注的还有一点,恶意手件还篡改了host,手动删除这个文件,然后用360修复下IE就可以解决了.安全模式很重要,修改起来更方便。当然,如果你不喜欢360,用其他更强的工具也是可以的。
做到这里,休息一下,抽烟一根,还没完呢,病毒基本清完了,但是还有一些后继要处理,比如,你桌面上可能还会存在两个Internet Explorer图标,其中一个是正常的,剩下的那个肯定不是好东西。要清除,当然了,它不是那么好删掉的,不信你试试,不行吧?还得从注册表下手,在这个位置:KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace,这里面的东西是用来显示桌面上的我的文档,我的电脑,网上邻居什么的,还真不好弄,所以你动手之前,记得把这个表给导出来做个备份,我找了一个正常的注册表值名称,如果你在NameSpace下面发现除了这四个键名以外的值,杀之。再刷新,OK了!
{1f4de370-d627-11d1-ba4f-00a0c91eedba}
{450D8FBA-AD25-11D0-98A8-0800361B1103}
{645FF040-5081-101B-9F08-00AA002F954E}
{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
退出安全模式,重启,检查IE是否正常了,最后BS一下这个恶意软件的作者:·#——……——¥(#!……!#¥·#%……#¥·——¥!·#¥!……——%……——*%……(
这种恶意修改首页的方式和我之前所写的一个文章有共通的地方,就是开机在C盘生成两个网址快捷图标的病毒,详情请参考: msconfig.exe文件加载恶意软件病毒:http://www.netcento.com/archive/174.html
