我的电脑以前的主页是www.hao123.com，可是最近却是变成了www.345dh.com

IE浏览器防侵扰应对策略

《电脑报》资深撰稿人黄科 (电脑报2007年合订本附录)

在你上网的时候，是不是遇到这样的情况：默认的IE主页变成了一个陌生的网站；进行网络搜索的时候，默认的不再是IE搜索引擎；鼠标右键无端被修改；注册表被锁定……这些都是IE被恶意修改所造成的，下面我们分门别类地为你介绍问题的解决方法。

一、防范IE主页恶意修改

1.默认主页被修改

清除方法：点击“开始”→“运行”，在“运行”框里输入“regedit”并确定，打开注册表编辑器（以下打开注册表编辑器均按此法），打开“HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main”分支，找到“StartPage”键值名（用来设置默认主页），在右边窗口点击右键将其键值删除即可，如图1所示。按F5键刷新生效。

图1

2.默认的微软主页被修改

清除方法：

手动修改注册表法：打开注册表编辑器，依次打开：“HKEY

_LOCAL_MACHINE\Software\Microsoft\Internet\Explorer\Main”分支，找到“Default_Page_URL”键值名（用来设置默认微软主页），在右窗口点击右键，将键值修改为“/start/”即可。按F5键刷新生效。

自动文件导入注册表法：请把以下内容输入到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示一路确认即可成功导入注册表。

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"default_page_url"="/start/"

3.主页设置功能被屏蔽

清除方法：

手动修改注册表法：打开注册表编辑器，依次打开：“HKEY_

CURRENT_USER\Software\Microsoft\Internet Explorer”分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，如图2所示。按F5键刷新生效。

图2

自动文件导入注册表法：请把以下内容输入记事本，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示一路确认，即可成功导入注册表。

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ControlPanel]

"HomePage"=dword:00000000

二、防范IE菜单恶意修改

1.IE标题栏被添加非法信息

清除方法：

手动修改注册表法：打开注册表编辑器，打开“HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main”分支，找到“Window Title”键值名，输入键值为“Microsoft Internet Explorer”，按F5刷新。

然后找到“HKEY_CURRENT_MACHINE\Software\Microsoft\Internet Explorer\Main”分支，找到“Window Title”键值名，输入键值为“Microsoft Internet Explorer”，如图3所示。按F5刷新。

图3

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Window Title"="Microsoft Internet Explorer"

[HKEY_CURRENT_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Window Title"="Microsoft Internet Explorer"

2.IE收藏夹被强行添加非法网站链接

清除方法：

可手动直接清除，将鼠标右键移至该非法网站链接上，点击右键弹出菜单，选择“删除”命令即可，如图4所示。

图4

3.锁定地址栏的下拉菜单并添加文字信息

清除方法：

打开注册表编辑器，依次打开：“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Toolbar”分支，在右边窗口找到“LinksFolderName”键值名，将其键值设为“链接”，多余的字符一律去掉，如图5所示。按F5键刷新生效。

图5

4.IE“查看”菜单下的“源文件”项被禁用

清除方法：

手动修改注册表法：打开注册表编辑器，打开：“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions”分支，找到“NoViewSource”键值名，将其键值设为“00000000”，按F5键刷新生效。

然后找到“HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions”分支，找到“NoViewSource”键值名，将其键值设为“00000000”，如6图所示。按F5键刷新生效。

图6

REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]

"NoViewSource"=dword:00000000

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions]

"NoViewSource"=dword:00000000

5.默认的IE搜索引擎被修改

清除方法：

手动修改注册表法：打开注册表编辑器，依次打开：“HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search”分支，找到“SearchAssistant”键值名，将其键值改为：“/{SUB_RFC1766}/srchasst/srchasst.htm”，然后找到“CustomizeSearch”键值名，将其键值修改为：“/{SUB_RFC1766}/srchasst/srchasst.htm”，如图7所示。按F5键刷新生效。

图7

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]

"SearchAssistant"="/{SUB_RFC1766}/srchasst/srchasst.htm"

"CustomizeSearch"="/{SUB_RFC1766}/srchasst/srchasst.htm"

三、防范其他恶意修改

1.鼠标右键菜单被添加非法网站链接

清除方法：

打开注册表编辑器，依次打开：“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\MenuExt”分支，将左边窗口中凡是属于非法链接的主键一律删除，如图8所示。按F5键刷新生效。

图8

2.鼠标右键弹出菜单功能被禁用

清除方法：

手动修改注册表法：打开注册表编辑器，依次打开：“HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions”分支，找到“NoBrowserContextMenu”键值名，将其键值设为“00000000”，如图9所示。按F5键刷新生效。

图9

自动文件导入注册表法：请把以下内容输入到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示一路确认，即可成功导入注册表。

REGEDIT4

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions]

"NoBrowserContextMenu"=dword:00000000

四、防范注册表被锁

前面的操作大部分要在注册表中操作，但很多时候根本打不开注册表，因而有必要在这里说明一下怎么解决注册表被锁的问题。

1.DOS下解除注册表锁定

在启动电脑时按下F8键，然后选择DOS模式或者运行“C:>SCANREG/RESTORE”就可以了。

2.用“reg”文件解除注册表锁定

用记事本编辑一个文本文件，保存文件的时候用“reg”格式保存。

在文件中输入以下内容：

REGEDIT4[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\system"DisableRegistryTools"=dword:00000000]

保存文件后，按前面介绍的方法将其导入注册表就可以了。

3.用HTM文件解除注册表锁定

用记事本编辑一个文本文件，在文件中输入以下内容：

＜ead＞

＜TITLE＞解开注册表＜/TITLE＞

＜meta name="keywords" content="注册表,恶意代码,修改注册表"＞

＜meta name="description" content="Robonic修改"＞

＜/head＞

＜SCRIPT＞＜/SCRIPT＞

＜OBJECT id=closes type="application/x-oleobject" classid="clsid:adb880a6-d8ff-11cf-9377-00aa003b7a11"＞

＜param name="Command" value="Close"＞

＜/object＞

＜input type="button" value="解开注册表" onclick="closes.Click();"＞

＜/HTML＞

保存文件的时候用“htm”格式保存，然后将其打开就可以了。

4.用组策略编辑器解除注册表锁定

在Windows XP中，我们可以通过点击“开始→运行”，输入“Gpedit.msc”后回车，打开“组策略”。然后依次展开“用户配置→管理模板→系统”，双击右侧窗口中的“阻止访问注册表编辑器”，在弹出的窗口中选择“未配置”，点击“确定”按钮后退出“组策略”，即可为注册表解锁。

-------------------------------------------------------------------------------------------------------------------------

ps：上面内容引自电脑报

=========================================================================================================================

可能是机子中有了流氓软件，找到流氓软件卸载之后就ok了

可用360安全卫士全面维护一下系统，之后再设置主页

楼主若是杀毒之后还是这样，可以借助第三方软件试试

如超级兔子：打开超级兔子--打造属于自己的系统--网络--常规设置--IE默认打开的主页（修改为www.hao123.com）--应用--确定--

=========================================================================================================================

刚刚看了一些中了此毒的用户解决方案，无一不是重装系统，说许多专杀工具都没有用，楼主若是不便重装系统，可以等到解决方案出来之后进行维护。

=========================================================================================================================

8749 顶着流氓招牌的病毒

(2007年8月13日第32期)

读者来信：我的IE主页被窜改成了www.8749.com。在IE浏览器的“Internet选项”中将它设置成原来的主页，但是重启系统后又变成了www.8749.com，即使使用《360安全卫士》、《超级兔子》等安全工具仍无济于事。

我想进入系统的安全模式修复，却每次都蓝屏，实在是没有办法了。请问《电脑报》的安全专家，我是不是中了病毒？如果是的话又该如何清除？杀毒软件好像不管用啊！

安全专家：这是由目前很火爆的一个带有流氓软件性质的病毒8749造成的，有不少网友都深受其害，其特性已经超出了流氓软件的范畴，属于病毒一类。病毒发作时，最主要的现象就是将用户的IE首页修改为www.8749.com，并且无法修改回原来的设置。从中我们可以知道它与8749.com网站有着莫大的联系。

病毒的目的虽然简单，但是它采用了不少“厉害”的保护措施，主要有以下几点：

1.生成的病毒文件名称都是随机的，目的是避免用户通过病毒名搜索病毒的清除方法。并且把病毒文件生成到多个目录中，例如病毒不仅会在系统文件夹的“system32”目录中生成病毒文件，还会在QQ的安装文件夹中生成病毒文件（图1）。

图1

2.修改HOSTS文件，阻止用户访问一些安全网站，并且病毒会联网自动更新该文件；还修改注册表，实现病毒的自启动；最重要的是，破坏系统还原以及安全模式，防止用户将主页修改回来。

3.进程监控，封杀被其列入黑名单的安全工具。防止用户用这些安全工具清除病毒。搜索监控，发现被其列入黑名单的关键字后关闭网页，这样用户想在百度中搜索“8749”就不可能了。

4.将病毒DLL文件插入到资源管理器进程“explorer.exe”中，以此避免自己在“任务管理器”中露出马脚。

以上就是病毒在系统中的一系列行为，可见病毒为了保护自己不被用户删除使用了多种流行病毒的技术，例如修改HOSTS文件的做法和“熊猫烧香”比较类似，生成随机文件名的行为和OSO病毒比较类似，而关闭带有禁止关键字的网页这招则和我们前不久介绍过的“AV终结者”病毒很相像。

那么多种技术结合在一起，普通用户想用一般的办法将IE首页改回来自然不太容易。解决这种病毒要用抽丝剥茧的方法，将它自我保护措施一层一层地剥掉，这样才是清除病毒的正确办法。

8749病毒就这样清除

由于病毒修改的地方较多，因此手动清除起来有一定的难度，所以这里我们使用病毒的专杀工具来清除病毒，至于被病毒修改的注册表、系统文件等，我们则通过其他的安全工具来修复。

Step1：首先下载8749病毒的专杀工具（下载地址：/bzsoft/）。下载并运行后，直接单击“开始扫描”按钮进行杀毒（图2）。此外，程序还可以修复被破坏的安全模式。

图2

Step2：如果安装有QQ，需要将QQ卸载，然后将QQ文件夹整个删除。

Step3：下载《360安全卫士》，在软件主界面中单击“高级”按钮，在其“IE修复”标签中选中所有项目，单击“立即修复”按钮。这样就能把被窜改的IE设置、HOSTS文件，以及注册表中的一些设置修改过来（图3）。

图3

Step4：开启系统还原，选择系统未感染病毒前的还原点。

在根据这四步清除病毒后，建议大家再进入安全模式杀一遍病毒，以免漏杀，并阻止其死灰复燃。需要注意的是，8749病毒的变种很多，专杀工具未必能将全部变种检测到并清除干净，所以希望大家这段时间能够少上陌生的网站，减少被病毒感染的几率。

编辑观点：欲灭病毒先终结进程

当今病毒很流行采取自我保护技术，让用户无法通过杀毒软件清除病毒。其实，这类病毒的自我保护措施做得再好，都必然会有一个破绽，那就是进程。进程永远是病毒核心，例如监视用户操作、关闭杀毒软件、保护病毒文件等操作，都离不开进程。

如果能结束病毒的进程就等于让病毒残废，之后解决起来就轻松多了，这一招是百试百灵。结束病毒进程的工具推荐大家使用IceSword，这是一款功能十分强大的安全工具，尤其是对系统内核的检测，让再狡猾的病毒也无处可藏。

======================================================================

上面的应对策略楼主不妨看看，但是在“345dh 病毒”专杀工具出来之前估计还是不好弄的