IE首页被恶意篡改的十二种解决方法

我们浏览网页时，很容易出现造成注册表被修改，使得IE默认连接首页、标题栏及IE右键菜单被改为浏览网页时的地址（多为广告信息），更有甚者使浏览者的电脑在启动时出现一个提示窗口显示自己的广告，而且有愈演愈烈之势，遇到这种情况我们该怎样办呢？

一、注册表被修改的原因及解决办法

其实，该恶意网页是含有有害代码的ActiveX网页文件，这些广告信息的出现是因为浏览者的注册表被恶意更改的结果。

1、IE默认连接首页被修改

IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式，这是最常见的篡改手段，受害者众多。

受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

通过修改“Start Page”的键值，来达到修改浏览者IE默认连接首页的目的，如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888.home.chinaren.com ”，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。

解决办法：

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

②展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“..about:blank”即可；

③同理，展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。

④退出注册表编辑器，重新启动计算机，一切OK了！

特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

解决办法：

运行注册表编辑器regedit.exe，然后依次展开

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。

2、篡改IE的默认页

有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ Main\Default_Page_URL

“Default_Page_URL”这个子键的键值即起始页的默认页。

解决办法：

运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

3、修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。

主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Settings"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "Links"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "SecAddSites"=dword:1

解决办法：

将上面这些DWORD值改为“0”即可恢复功能。

4、IE的默认首页灰色按扭不可选

这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改为“1”（即为灰色不可选状态）。

解决办法：

在HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”

将“homepage”的键值改为“0”即可。

5、IE标题栏被修改

在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值Window Title下的键值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。

具体说来受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title

解决办法：

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键；

②展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等你喜欢的名字；

③同理，展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

然后按②中所述方法处理。

④退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题解决了！

6、IE右键菜单被修改

受到修改的注册表项目为：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

下被新建了网页的广告信息，并由此在IE右键菜单中出现！

解决办法：

打开注册标编辑器，找到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt删除相关的广告条文即可，注意不要把下载软件flashGet和Netants也删除掉啊，这两个可是“正常”的呀，除非你不想在IE的右键菜单中见到它们。

7、IE默认搜索引擎被修改

在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

解决办法：

运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。

8、系统启动时弹出对话框

受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！你瞧，多讨厌啊！

解决办法：

打开注册表编辑器，找到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。

9、浏览网页注册表被禁用

这是由于注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“0”即可恢复注册表的使用。

解决办法

用记事本程序建立以REG为后缀名的文件，将下面这些内容复制在其中就可以了：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “DisableRegistryTools”=dword:00000000

10、浏览网页开始菜单被修改

这是最“狠”的一种，让浏览者有生不如死的感觉。浏览后不仅有类似上面所说的那些症状，还会有以下更悲惨的遭遇：

1)禁止“关闭系统” 2)禁止“运行” 3)禁止“注销” 4)隐藏C盘——你的C盘找不到了！ 5)禁止使用注册表编辑器regedit 6)禁止使用DOS程序 7)使系统无法进入“实模式” 8)禁止运行任何程序

具体的原因和解决办法请看天极网e企业之安全之路栏目的这篇文章：《浏览网页注册表被修改之迷及解决办法》。

以上是比较常见的修改浏览者注册表的现象，今天在浏览网页时，无意中来到某个个人网站，又遇到了以前没有碰到过的问题：

11、IE中鼠标右键失效

浏览网页后在IE中鼠标右键失效，点击右键没有任何反应！

12、查看““源文件”菜单被禁用

在IE窗口中点击“查看”→“源文件”，发现“源文件”菜单已经被禁用。

我在浏览网页时并没有注意到上面这两个问题，因为当时正好朋友叫我有事，于是我就退出电脑了，晚上吃完饭开启电脑连线上网，就发现IE中鼠标右键失效，“查看”菜单中的“源文件”被禁用。不能查看源文件也就罢了，但是无法使用鼠标右键真是太不方便了。得想个办法！

找出最新版的超级兔子魔法设置试试吧，呀！不能解决！看来是个新问题，不过自己好歹也是“老革命”了，这点问题应该难不住我。于是到注册表中一番搜寻，经过一番查找终于弄明白了问题的所在。

原来，恶意网页修改了我的注册表，具体的位置为：

在注册表

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：“NoViewSource”和“NoBrows

一.文件被隐藏了.将它显示的办法是:在我的电脑里面点工具,文件夹选项,查看,去掉”隐藏受保护的操作系统文件(推荐)”选项上面的勾.在”隐藏文件夹和文件”选项里,选择”显示所有文件”.点应用.这样就可以查看隐藏文件了.

二.进行了上面的设置,但还是不能显示隐藏文件,则可能是注册表中的设置问题.复制下面的命令,写入记事本,保存为:显示隐藏文件.reg 双击后点确定,导入注册表.再进行第一步的设置,就可以显示了的.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=-

"CheckedValue"=dword:00000001

如果用这个还不行.可以要网友完整地导出HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\这个分支给你.先在注册表中删了这个分支,再导入网友的正常的这个分支.

三.在FAT32文件系统下,GHOST所建立的备份文件夹,即使设置为显示所有文件也不可见.但转为NTFS格式后,显示所有文件即可见.由此看来,必有其它软件也能这样的.

四.显示所有文件后可见.但无法改更隐藏属性.可以用attrib命令修改.复制下面的命令,写入记事本,保存为:隐藏文件.bat 把要显示的文件拖到上面即可:

attrib -h %* /d /s

要重新隐藏,则复制下面的命令,写入记事本,保存为:隐藏文件.bat 把要隐藏的文件拖到上面即可.

attrib +h %* /d /s

五.用attrib命令无法修改,则可能是系统没有attrib.exe这个命令行程序.恢复这个程序即可.要网友传一个给你,复制到系统盘windows\sysytem32文件夹下即可.

六.超级兔子魔法盾,可以隐藏一个文件,使它在显示所有文件夹下也不能显示.但只要关了魔法盾,文件就可见了的.

七.凡是被某些程序隐藏了的文件,都可以用冰刃查看.没有什么程序能在冰刃面前隐藏文件的.

八.比较特殊的是,由于磁盘错误,导致文件不可见.曾经有一个人的一个盘里几十个G的东东都不可见.但在运行chkdsk之后,隐藏了的文件就都可见了的.这种情形较为罕见.给出一个运行CHKDSK的批处理.复制下面的命令,写入记事本,保存为:运行CHKDSK.BAT 双击运行.

@echo off

@echo 须要注意的是,这个命令耗时较长.一般不建议全盘检测.系统盘或者是虚拟内存所在的盘,需要重启才能完成检测的.

@echo.

@echo.

:0

set num=

set /p num=请输入你要检测的磁盘盘符,比如C,不需要带冒号,要全盘检测请输入数字0:

if "%num%"=="" goto 0

set "%num%"=="%num:~0,1%"

if "%num%"=="0" goto 1

@echo y|chkdsk /r /x %num%:

@pause

@exit

:1

for %%1 in (c: d: e: f: G: h: i: j: k: l: M: N: O: P: Q: R: S: T: U: V: W: X: Y: Z:) do (if exist %%1 ECHO Y|chkdsk %%1 /r /x)

@pause



九.用了以上的法子,文件还是不能显示,则应是病毒的原因,还是先杀毒,后显示文件吧.

    一、ping  它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看帮助吧，在DOS窗口中键入：ping /? 回车。所示的帮助画面。在此，我们只掌握一些基本的很有用的参数就可以了（下同）.

    -t 表示将不间断向目标IP发送数据包，直到我们强迫其停止。试想，如果你使用100M的宽带接入，而目标IP是56K的小猫，那么要不了多久，目标IP就因为承受不了这么多的数据而掉线，呵呵，一次攻击就这么简单的实现了。

    -l 定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节。结合上面介绍的-t参数一起使用，会有更好的效果哦。

    -n 定义向目标IP发送数据包的次数，默认为3次。如果网络速度比较慢，3次对我们来说也浪费了不少时间，因为现在我们的目的仅仅是判断目标IP是否存在，那么就定义为一次吧。

    说明一下，如果-t 参数和 -n参数一起使用，ping命令就以放在后面的参数为标准，比如"ping IP -t -n 3",虽然使用了-t参数，但并不是一直ping下去，而是只ping 3次。另外，ping命令不一定非得ping IP,也可以直接ping主机域名，这样就可以得到主机的 IP.

    下面我们举个例子来说明一下具体用法。

    这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒，从这里可以判断网络连接速度的大小 .从TTL的返回值可以初步判断被 ping主机的操作系统，之所以说"初步判断"是因为这个值是可以修改的。这里TTL=32表示操作系统可能是win98.

    （小知识：如果TTL=128,则表示目标主机可能是Win2000;如果TTL=250,则目标主机可能是Unix）

    至于利用ping命令可以快速查找局域网故障，可以快速搜索最快的QQ服务器，可以对别人进行ping攻击……这些就靠大家自己发挥了。

    二、nbtstat

    该命令使用TCP/IP上的NetBIOS显示协议统计和当前TCP/IP连接，使用这个命令你可以得到远程主机的NETBIOS信息，比如用户名、所属的工作组、网卡的MAC地址等。在此我们就有必要了解几个基本的参数。

    -a 使用这个参数，只要你知道了远程主机的机器名称，就可以得到它的NETBIOS信息（下同）.

    -A 这个参数也可以得到远程主机的NETBIOS信息，但需要你知道它的IP.

    -n 列出本地机器的NETBIOS信息。

    当得到了对方的IP或者机器名的时候，就可以使用nbtstat命令来进一步得到对方的信息了，这又增加了我们入侵的保险系数。

    三、netstat

    这是一个用来查看网络状态的命令，操作简便功能强大。

    -a 查看本地机器的所有开放端口，可以有效发现和预防木马，可以知道机器所开的服务等信息。

    这里可以看出本地机器开放有FTP服务、Telnet服务、邮件服务、WEB服务等。用法：netstat -a IP.

    -r 列出当前的路由信息，告诉我们本地机器的网关、子网掩码等信息。用法：netstat -r IP.

    四、tracert

    跟踪路由信息，使用此命令可以查出数据从本地机器传输到目标主机所经过的所有途径，这对我们了解网络布局和结构很有帮助。

    这里说明数据从本地机器传输到192.168.0.1的机器上，中间没有经过任何中转，说明这两台机器是在同一段局域网内。用法：tracert IP.

    五、net

    这个命令是网络命令中最重要的一个，必须透彻掌握它的每一个子命令的用法，因为它的功能实在是太强大了，这简直就是 微软为我们提供的最好的入侵工具。首先让我们来看一看它都有那些子命令，键入net /?回车。

    在这里，我们重点掌握几个入侵常用的子命令。

    net view

    使用此命令查看远程主机的所以共享资源。命令格式为net view IP.

    net use

    把远程主机的某个共享资源影射为本地盘符，图形界面方便使用，呵呵。命令格式为net use x: IPsharename.上面一个表示把 192.168.0.5IP的共享名为magic的目录影射为本地的Z盘。下面表示和192.168.0.7建立IPC$连接（net use IP IPC$"password" /user:"name"）.

    建立了IPC$连接后，呵呵，就可以上传文件了：copy nc.exe
92.168.0.7admin$,表示把本地目录下的nc.exe传到远程主机，结合后面要介绍到的其他DOS命令就可以实现入侵了。

    net start

    使用它来启动远程主机上的服务。当你和远程主机建立连接后，如果发现它的什么服务没有启动，而你又想利用此服务怎么办？就使用这个命令来启动吧。用法：net start servername,成功启动了telnet服务。

    net stop

    入侵后发现远程主机的某个服务碍手碍脚，怎么办？利用这个命令停掉就ok了，用法和net start同。

    net user

    查看和帐户有关的情况，包括新建帐户、删除帐户、查看特定帐户、激活帐户、帐户禁用等。这对我们入侵是很有利的，最重要的，它为我们克隆帐户提供了前提。键入不带参数的net user,可以查看所有用户，包括已经禁用的。下面分别讲解。

    1,net user abcd 1234 /add,新建一个用户名为abcd,密码为1234的帐户，默认为user组成员。

    2,net user abcd /del,将用户名为abcd的用户删除。

    3,net user abcd /active:no,将用户名为abcd的用户禁用。

    4,net user abcd /active:yes,激活用户名为abcd的用户。

    5,net user abcd,查看用户名为abcd的用户的情况。

    net localgroup

    查看所有和用户组有关的信息和进行相关操作。键入不带参数的net localgroup即列出当前所有的用户组。在入侵过程中，我们一般利用它来把某个帐户提升为administrator组帐户，这样我们利用这个帐户就可以控制整个远程主机了。用法： net localgroup groupname username /add.

    现在我们把刚才新建的用户abcd加到 administrator组里去了，这时候abcd用户已经是超级管理员了，呵呵，你可以再使用 net user abcd来查看他的状态。但这样太明显了，网管一看用户情况就能漏出破绽，所以这种方法只能对付菜鸟网管，但我们还得知道。现在的手段都是利用其他工具和手段克隆一个让网管看不出来的超级管理员，这是后话。有兴趣的朋友可以参照《黑客防线》第30期上的《由浅入深解析隆帐户》一文。

    net time

    这个命令可以查看远程主机当前的时间。如果你的目标只是进入到远程主机里面，那么也许就用不到这个命令了。但简单的入侵成功了，难道只是看看吗？我们需要进一步渗透。这就连远程主机当前的时间都需要知道，因为利用时间和其他手段（后面会讲到）可以实现某个命令和程序的定时启动，为我们进一步入侵打好基础。用法：net time IP.

    六、at

    这个命令的作用是安排在特定日期或时间执行某个特定的命令和程序（知道 net time的重要了吧？）.当我们知道了远程主机的当前时间，就可以利用此命令让其在以后的某个时间（比如2分钟后）执行某个程序和命令。用法：at time command computer.

    表示在6点55分时，让名称为a-01的计算机开启telnet服务（这里net start telnet即为开启telnet服务的命令）.

    七、ftp

    大家对这个命令应该比较熟悉了吧？网络上开放的ftp的主机很多，其中很大一部分是匿名的，也就是说任何人都可以登陆上去。现在如果你扫到了一台开放 ftp服务的主机（一般都是开了21端口的机器）,如果你还不会使用ftp的命令怎么办？下面就给出基本的ftp命令使用方法。

    首先在命令行键入ftp回车，出现ftp的提示符，这时候可以键入"help"来查看帮助（任何DOS命令都可以使用此方法查看其帮助）.

    大家可能看到了，这么多命令该怎么用？其实也用不到那么多，掌握几个基本的就够了。

    首先是登陆过程，这就要用到open了，直接在ftp的提示符下输入"open 主机IP ftp端口"回车即可，一般端口默认都是21,可以不写。接着就是输入合法的用户名和密码进行登陆了，这里以匿名ftp为例介绍。

    用户名和密码都是ftp,密码是不显示的。当提示**** logged in时，就说明登陆成功。这里因为是匿名登陆，所以用户显示为Anonymous.

    接下来就要介绍具体命令的使用方法了。

    dir 跟DOS命令一样，用于查看服务器的文件，直接敲上dir回车，就可以看到此ftp服务器上的文件。

&