1. 首頁 > 生活經驗 > >

流氓軟件篡改ie主頁伎倆分析

這說明這個流氓軟件在注冊表里還有別的窠,這些可能位置都有哪些呢?筆者根據有限經驗,先列出最重要的這幾條,期待網友們補充更多的發現 。點擊開始-運行-輸入regedit回車,依次找到如下位置當然 , 筆者推薦使用Registry Workshop軟件 , 可以直接粘貼以下地址回車,并將該地址添加到收藏夾,以后舊的不用再找,新的也可見者收藏 。1、internet選項對應的注冊表值:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page
這項的值和ie選項里的主頁是同步的,可以先試試 。
2、綁定ie主程序運行參數:
HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand

流氓軟件篡改ie主頁伎倆分析


ie主程序運行參數
這項的正常值是C:Program FilesInternet ExplorerIEXPLORE.EXE %1,流氓軟件將自己的網址附加在后面當作一個運行參數,那么打開ie主程序時就會自動跳轉到該網址,這招夠狠 。
3、綁定ie窗體控件ieframe.dll主頁命令:
HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand
流氓軟件篡改ie主頁伎倆分析


ie窗體控件的主頁命令
這項的默認值是C:Program FilesInternet Exploreriexplore.exe,同樣,流氓網址可能附加在后面,攔截主頁 。
4、綁定ie快捷方式運行目標:
還有一種在注冊表里無論如何也搜索不到,卻遠在天邊近在眼前的手段,就是修改了ie快捷方式屬性里的運行目標 。注意是快捷方式 , 不是桌面默認顯示的ie圖標 。正常的ie快捷方式有四種:
流氓軟件篡改ie主頁伎倆分析


ie快捷方式
可以看出上面三個ie快捷方式依次是由桌面ie圖標創建、由開始菜單頂端ie圖標創建、由系統盤ie主程序創建的(當然如果你隱藏了擴展名 , 第三個快捷方式就沒有.exe后綴),第四種是在開始按鈕右邊快速啟動欄上的啟動Internet Explorer圖標 。右鍵查看這些快捷方式屬性:
流氓軟件篡改ie主頁伎倆分析


由桌面ie圖標創建的ie快捷方式
流氓軟件篡改ie主頁伎倆分析


由開始菜單ie圖標創建的ie快捷方式
【流氓軟件篡改ie主頁伎倆分析】這兩個的目標和起始位置的默認都為空,后兩種就不同了:
流氓軟件篡改ie主頁伎倆分析


由ie主程序創建的快捷方式
流氓軟件篡改ie主頁伎倆分析


由快速啟動欄ie圖標創建的快捷方式
筆者快速啟動欄已刪除啟動ie的圖標,擱筆追思,遠求而來,故上面窗口略顯異域 。這兩個快捷方式 , 目標默認值都是C:Program FilesInternet Exploreriexplore.exe,這下病毒又有空可鉆了 , 只要把自己的網址追加到后面,那么你經這個圖標打開ie時,就會立即跳到它的網址,真是無所不用其極 。
所以筆者建議,如果主頁被篡改并改不回來了,請先右鍵你啟動ie時所打開的快捷方式,看屬性目標后面有無追加網址,有則刪之;不行的話就去注冊表里查看那些可能位置:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page
HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand
HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand
看值的后面有沒有尾巴,這些網址有時可能是亂碼,全部剪掉,回復默認值 , 主頁就改回來了 。這樣只是暫時堵住,若想徹底杜絕 , 請先卸載新安裝的流氓軟件,以后也莫亂逛網站或接受推薦下載安裝那些你以為是發現新天地其實可能早已臭名昭著的小流氓 。當然 , 如果你熟悉了更多的篡改主頁伎倆,就不用有這些顧慮了 。筆者再次推薦注冊表管理軟件Registry Workshop , 平時多積累自己的發現,保持與毒俱進,將病毒流氓的伎倆盡收囊中 。

相關經驗推薦