针锋相对 打赢主页保卫战

　　笔者的电脑运行速度越来越慢，系统经常弹出奇怪的警告窗口。于是决定重新安装系统，安装过程很顺利，当安装完毕后，系统的运行速度果然飞快。但是，当打开IE后，却发现里面可谓乱七八糟，收藏夹中充斥着垃圾网址，工具栏上按钮凌乱，而且自动打开某个内容杂乱的网页。将IE整理干净，笔者颇有信心，于是将收藏夹中垃圾网址清除，将杂乱的IE加载项，BHO插件等删除。但是，当试图恢复被绑架的IE主页时，却遇到了不小的麻烦，在IE选项窗口中发现和主页相关的内容和按钮全部处于灰色状态，无法对其进行修改，默认的主页为“www.5258.cc”。

　　1.使用常规方法，无法为IE主页“松绑”

　　笔者请出了金山急救箱这款安全利器，对系统进行安全扫描，果然发现一些IE被非法窜改的项目，执行修复操作，原以为这样可以解决问题，不过奇怪的是打开IE后，主页依然被锁定。换用诸如QQ安全管家的修复工具，也无法拯救IE主页。考虑到和IE主页相关的设定信息全部保存在注册表中，笔者决定亲自动手，将IE主页调整回来。

　　运行RegistryWorkShop这款注册表专业编辑工具，在其主界面中点击菜单“Search”-“Find”项，在搜索窗口中的“Findwhat：”栏中输入“www.5258.cc”，点击“Find”按钮，执行搜索操作，RegistryWorkShop搜索速度极快，果然在窗口底部的检测列表中发现6处相关的注册表项目遭到非法修改。接着点击“Ctrl+R”项，在替换窗口中的“Replacewith”栏中输入“www.baidu.com”，点击“Replace”按钮，执行替换操作，即将原来的垃圾网址替换为指定的网址。当Registry WorkShop替身替换成功后，笔者打开IE，觉得主页应该已经变成自己需要的地址了。但是，网址“www.5258.cc”依然“顽固”地占据着主页，自动打开的还是垃圾页面。

　　2.发现端倪，寻找绑架主页的“幕后黑手”

　　看来，仅仅依靠安全工具，或者对注册表进行修复是无法解决问题的，一定有流氓程序在后台运行，对注册表的变动情况进行监视，当发现IE主页被修复后，立刻对注册表进行恶意修改，恢复对IE主页的控制权。笔者运行“msconfig.exe”程序，在系统配置窗口中的“启动”面板中仔细查看，果然发现名为“Printer Services”的启动项比较可疑，与其关联的程序名为“HPGuard.exe”，位于“C：Users Administrator App Data Roaming HP Guard”文件夹中。从名称上看，似乎是与HP打印机相关的程序，但是本机上并没有安装任何打印机。笔者打开命令提示符窗口，执行“taskkill/imhpguard.exe/f”命令，将该可疑进程关闭。之后按照上述方法，对注册表进行修复，发现IE的主页终于恢复正常了。

　　3.清除流氓程序，自由设置IE主页

　　进入该程序的目录中，果然发现其并非善类，打开其中名为“Home Page.ini”的文件，发现其中分别针对IE、谷歌浏览器、世界之窗浏览器、360安全浏览器、QQ浏览器、搜狗浏览器等大家常用的浏览器，设置了恶意绑架网站以及对应的命令行参数。看来，该恶意程序不仅绑架IE，还绑架其他的常用浏览器。打开“ShutCut.ini”文件，发现其特别针对360安全浏览器，进行了“贴心”的设计，包括对360安全浏览器个人桌面、公共桌面、任务栏等项目，分别进行了路径设定，“精心”为其预备了名为“daohang.5258.cc”的恶意网址。可以肯定，对于使用360安全浏览器的用户来说，一定频繁遭到其骚扰。该目录中的“HpHook.dll”文件可能是封装恶意代码的动态库。不过，打开其中的“$$a$$.bat”批处理文件，发现这是一个卸载程序，看来恶意程序的“开发者”还有些良知，允许用户卸载该恶意程序。了解以上原理后，先将“HPGuard.exe”进程关闭，之后删除该目录，最后清除名为“Printer Services”的启动项，这样终于将IE恢复正常了。至于IE选项窗口中和主页相关的“使用当前页”、“使用默认值”、“使用空白页”等项被锁定呈灰色显示的情况，需要运行“regedit.exe”程序，打开“HKEY_CURRENT_USER Software Policies MicrosoftInternet Explorer Control Panel”、“HKEY_USERS.DEFAULT Software Policies MicrosoftInternet Explorer Control Panel”、“HKEY_USERSS-1-5-18 Software Policies MicrosoftInternet Explorer Control Panel”等分支，分别将其右侧的名为“Home Page”的键值设置为0，就可以摆脱上述限制了。

　　4.清理不法驱动文件，恢复IE正常功能

　　一般来说，当发现IE主页被绑架后，可以打开注册表编辑器，点击“Ctrl+F3”键，输入恶意网址内容，对注册表进行全面搜索，发现并清除隐藏恶意网站的键值。但是，有些恶意网址可能会被进行加密处理，例如对于“www.5258.cc”网址来说，经过加密后，会变成“http：//%77%77%77%2E%35%32%35%38%2E%63%63/”字样，隐藏在特定的注册表键值中，则很难搜索到。为此可以运行Sreng这款安全工具。在其主界面左侧点击“智能搜索”按钮，点击“扫描”按钮，操作完毕后，将扫描结果保存为独立的文件。在该文件中的“浏览器加载项”部分就很容易发现加密后的恶意网址，以及对应的注册表位置，进入可以将其找到并清除。

　　对以上拯救IE主页的实例分析，可以看到，越来越多的恶意程序已经不满足于对注册表进行简单修改，来实现对IE的劫持，而是采用更加高级的手段进行破坏活动。例如，其可能采用创建驱动程序的手法，从底层侵入系统，这样，当系统启动后，就会自动加载该不法驱动模块，当其被激活后，就会对IE主页以及其他配置项目进行窜改，即使您对注册表进行全面搜索，也无法发现其踪迹。利用AutoRuns这款安全工具，可以看穿其真面目。

　　在AutoRuns主界面中打开“驱动”面板，可以显示所有的驱动模块。对于可疑模块，AutoRuns会以黄色进行标识。对于危险性高的模块，AutoRuns会以红色进行标识，对其进行比较分析，可以很容易发现其中的不法分子，对于拿不准的模块，可以在其右键菜单上点击“在线搜索”项，对其进行详细分析。对于确认的不法驱动模块，可以在其右键菜单上点击“删除”项，将其清除。也可以进入WinPE环境，来删除对应的垃圾驱动文件。为了防止出错，可以先点击“跳转到文件夹”项，将对应的驱动文件复制出来，如果删除出错可以及时恢复。

　　5.删除恶意DLL模块，让IE远离骚扰

　　此外，恶意程序还会采用将特制的DLL动态库注入到IE进程中，来动态地绑架IE主页。对此可以运行PowerTool这款安全工具，对进程进行仔细检查，来发现问题所在。例如，当发现IE设置被窜改，使用正常方法无法修复时，可以运行PowerTool，在其主界面中打开“进程管理”面板，在进程列表中选择“iexplorer.exe”，在窗口底部的“模块”栏中仔细查找，就很容易发现可疑的DLL文件。

　　清除的方法是关闭IE，然后再打开其存储的路径（例如“C：Windows system32”等），找到该DLL文件并对其更名或者删除，并重启系统就可以恢复IE正常设置项目了。有时，当您在修改IE快捷方式各项属性时，系统会弹出“无法将所做的改动保存到InternetExplorer.lnk拒绝访问”的提示，表明恶意程序将该快捷方式设置成了只读属性，只需将其属性恢复到正常状态，就可以进行所需的调整操作了。

　　6.恢复IE主页的其它小技巧

　　此外，恶意程序也可能将相关路径的属性设置为只读，例如将“C：Documents and SettingsAdministrator桌面”、“C：Documentsand SettingsAdministratorApplicationDataMicrosoftInternet ExplorerQuickLaunch”等特殊文件夹设置为只读属性，同样可以阻挡用户恢复IE快捷方式的相关属性。如果出现无法取消只读属性的问题，说明权限设置被恶意修改。在上述文件夹属性窗口中的“安全”面板检查当前用户是否拥有对该文件夹的完全控制、修改等权限，设置好合适的权限后，再对其进行修改。

　　如果对注册表进行修改时，系统弹出错误提示的话，这说明恶意程序对相关注册表键值的权限进行了封锁，为此可以在对应子健的右键菜单上点击“权限”项，针对当前账户启用“完全控制”和“读取”两项权限。如果恶意程序将当前账户从权限列表中删除，则需要点击“高级”按钮，之后添加当前账户，然后赋予其权限，就可以正常操作注册表了。此外，如果在Windows7等系统中遇到桌面上IE图标无法删除和修改的话，很可能是恶意程序将IE快捷方式设置为共享状态的缘故，处于共享状态的快捷方式是无法被删除的。处理方法很简单，打开IE快捷方式的共享设置界面，将其共享属性消除，之后就可以对其进行修改或删除操作。

　　文/刘景云