2023年-IE主被篡改現(xiàn)象大匯總及解決方法

有人問，電腦上的哪一個(gè)程序用得最多？也許有人會(huì)說是QQ!!但事實(shí)上是IE瀏覽器！IE瀏覽器這個(gè)是非之地，在上網(wǎng)的過程中常常被人為，或者病毒等，弄得面目全非，導(dǎo)致無法使用。有鑒于此，筆者將IE使用中最常見的故障：IEIE主頁被篡改技巧總結(jié)如下，望能解決朋友們的煩惱。在此感謝新浪電腦醫(yī)生房間睿婕醫(yī)生的幫助。問題1,瀏覽某些網(wǎng)頁的時(shí)候，自己將主頁定義成該網(wǎng)頁.在IE屬性的常規(guī)選項(xiàng)中的地址欄可以輸入自己喜歡首頁應(yīng)用確定即可.問題2.安裝某些軟件把主頁鎖定成該軟件的首頁，常見的比如安裝QQ,SOGO拼音,超級(jí)兔子等.（注:請(qǐng)安裝軟件的時(shí)候一定要仔細(xì)閱讀軟件的安裝說明，不需要選擇的請(qǐng)去掉勾選，而不是一味的點(diǎn)下一步。）問題3.注冊(cè)表中strartpage值被更改相關(guān)路徑如下：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下的startpage值HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main下的startpage值HKEY_USERS\.DEFAULT\Software\Microsoft\InternetExplorer\Main下的startpage值HKEY_USERS\S-l-5-18\Software\Microsoft\InternetExplorer\Main下的startpage值HKEY_USERS\S-l-5-20\Software\Microsoft\InternetExplorer\Main下的startpage值f.HKEY_USERS\S-l-5-21-583907252-436374069-1060284298-500\Software\Microsoft\InternetExplorer\Main值。（注：此項(xiàng)操作建議請(qǐng)有一定的電腦經(jīng)驗(yàn)并對(duì)注冊(cè)表有一定動(dòng)手能力的朋友操作。）問題4.中了一些惡意軟件,主頁被篡改而且把桌面上的正常的IE屬性給隱藏或刪除,然后做個(gè)惡意網(wǎng)站的快捷方式在桌面.導(dǎo)致一些用戶打開IE的時(shí)候主頁不是自己設(shè)置的。常見的幾種現(xiàn)象:.桌面項(xiàng)目中沒有在InternetExplorer前面打勾，如下圖所示,想要在桌面上顯示只需在InternetExplorer前面打勾即可.常規(guī)|web|桌面圖標(biāo) 17網(wǎng)上鄰居國）InternetExplorer17網(wǎng)上鄰居國）InternetExplorer（X）B我的電腦?）.如果桌面項(xiàng)目中沒有〃InternetExplorer〃圖標(biāo),然后在此位置按一下鍵盤上的〃1〃或者〃ALT+I〃，然后應(yīng)用確定即可..打開“我的電腦”，然后點(diǎn)擊“向上”按鈕，居然有IE,不用多說了，直接拉在桌面上即可。如下圖所示：.系統(tǒng)升級(jí)SP3后或安裝補(bǔ)丁后，造成桌面項(xiàng)目中的InternetExplorer選項(xiàng)根本不存在,但是我們想讓桌面有IE圖標(biāo)，只需要把鼠標(biāo)放到上面IE圖標(biāo)的位置，然后按住鍵盤上的〃i〃鍵,就會(huì)在桌面上顯示IE圖標(biāo).或者你可以在其它盤任意位置上新建一個(gè)文件夾,名字命名為〃IE.{871C5380-42A0-1069-A2EA-08002B30309D}〃然后再將此文件夾復(fù)制到桌面,現(xiàn)在應(yīng)該看到了吧,失蹤的IE圖標(biāo)再現(xiàn)了吧.哈哈..注冊(cè)表值被修改:路徑：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu右側(cè)〃{871C5380-42A0-1069-A2EA-08002B30309D}〃被更改為1.那么我們修改值為桌面IE圖標(biāo)就變出來了.不相信你就試試看哈哈.或者我們運(yùn)行命令如下：cmd/kregadd/zHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu，z/v（871C5380-42A0-1069-A2EA-08002B30309D}/tREG_DWORD/d0/f.桌面項(xiàng)目中即使在IE前面打勾,但是桌面上始終沒有IE圖標(biāo)出現(xiàn),那是因?yàn)樽?cè)表中做了策略限制，導(dǎo)致桌面I無法顯示IE圖標(biāo).我們可以在開始運(yùn)行中輸入下面兩條命令，cmd/kregdelete/zHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies'Explorer"/vNoInterneticon/fcmd/kregdeletezzHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer，z/vNoInterneticon/f但是刷新桌面后不能立刻生效，我們可以運(yùn)行命令〃cmd/ktaskkill/imexplorer,exe&&startexplorer,exeexplorer,exe〃目的是結(jié)束并重新加載explorer,exe然后使策略馬上生效..同第6種現(xiàn)象原理一樣:是通過組策略更改.具體方法:在開始運(yùn)行中輸入"gpedit.msc〃打開組策略，依次展開〃本地計(jì)算機(jī)策略〃-〃用戶配置〃-管理模板〃-〃桌面〃找到〃隱臧桌面上的〃InternetExplorer圖標(biāo)〃然后雙擊將其更改為〃未配置〃或者〃已禁用〃即可.（如果默認(rèn)是〃未配置〃我們可以將其〃啟用〃確定后再一次更改為〃未配置〃或〃已禁用〃反操作一次.即可在桌面上顯示〃IE圖標(biāo)〃.問題5.在一些IE快速啟動(dòng)欄里鎖定了某些惡意網(wǎng)頁.（可以通過IE屬性常規(guī)目標(biāo)位置可以查看，正常的是〃C:'ProgramFiles\InternetExplorer\iexplore.exe“，但是被鎖定后變成：〃C:\ProgramFiles\InternetExplorer\iexplore.exe〃www.*****.com等.（相信大家知道怎么改回來了吧，就是把后面的網(wǎng)址刪除即可.）圖示如下：問題6.IE的clsid被篡改,具體操^:HKEY_CLASSES_R00T\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\she11\OpenHomePage\Connnand右側(cè)的默認(rèn)值被更改，人家正常的應(yīng)該是C:\ProgramFiles\InternetExplorer\iexplore,exe,主頁被篡改會(huì)被修改成C:\ProgramFiles\InternetExplorer\iexplore,exewww.*****.com等，把后面的一串網(wǎng)址刪除即可.現(xiàn)象：.打開任何網(wǎng)頁都顯示web6699.cn.右擊IE主頁屬性里面的網(wǎng)址是自己定義的.控制面板中的發(fā)現(xiàn)百度工具條.點(diǎn)擊無法卸載,然后就彈出上面的故障網(wǎng)頁.解決方法：.在開始運(yùn)行中輸入下面的命令將主頁的關(guān)聯(lián)修復(fù):cmd/kregaddzzHKEY_CLASSES_R00T\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command，z/ve/tREG_SZ/d〃C:\ProgramFiles\InternetExplorer\iexplore.exe"/f.看管理加載項(xiàng)：禁用{9719BE52-E864-46A9-98B2-951E8D6B1144}和百度工具條.添加刪除程序中無法卸載百度超級(jí)搜霸，（先禁用百度工具條的插件,然后在注冊(cè)表中找到下面位置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal1然后在它的下面找到SO字樣,然后點(diǎn)刪除重啟，主頁修復(fù)完成.問題7.還有就是打開自定義的主頁后開始顯示正常,然后就馬上發(fā)生跳轉(zhuǎn)到其它網(wǎng)頁故障現(xiàn)象：打開主頁WWW.haol23.com直接跳轉(zhuǎn)出現(xiàn)下面的情況.?http://<w.475100.cob/in/?u=wr.haol23.cob-文件出）編輯⑥查看⑦收藏??工具Q）幫助國）地址①）⑥http："w后退▼jW2\地址①）⑥http："www.475100.com/in/?u=www.haol23.com解決方法：（分如下兒步）.cmd/kregaddzzHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix，z/ve/tREG_SZ/d〃http:〃〃/f.cmd/kregaddz/HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes〃/vhome/treg_sz/d〃http:〃〃/f.cmd/kregadd，zHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes"/vwww/tREGSZ/d〃http://〃/f另外一種情況hosts文件被劫持,也會(huì)出現(xiàn)網(wǎng)頁跳轉(zhuǎn)問題.可以編輯修復(fù)hosts即可解決..（可以在開始運(yùn)行中輸入notepad"c:\windows\systern32\drivers\etc〃直接打開此文件，刪除跳轉(zhuǎn)的網(wǎng)址.）問題8.最后一點(diǎn)就是最可惡的IE主頁被篡改現(xiàn)象，以上方法都無法修改過來，即木馬病毒篡改IE主頁。我們無論如何修改主頁都改不過來,是因?yàn)榧虞d木馬驅(qū)動(dòng)的服務(wù)，并會(huì)釋放驅(qū)動(dòng)文件到系統(tǒng)的C:\windows\system32\drivers文件夾下，然后對(duì)IE主頁進(jìn)行實(shí)時(shí)監(jiān)控導(dǎo)致IE主頁不能被修改。（所以我們就可以想辦法找到驅(qū)動(dòng)級(jí)的服務(wù)給他停用，然后刪除驅(qū)動(dòng)文件.再修改主頁故障現(xiàn)象：1.金山毒霸王報(bào)如下：廿金山毒市文件實(shí)時(shí)防毒發(fā)現(xiàn)病毒，文件被禁止訪問病毒名：Win32.Troj.SysJimk2T.ak文件名：vcqkc.sys目錄：C：MaNDOWS'system32\drivers.IE主頁被篡改：如（:www.kzxf.net/?1027）注冊(cè)表中修復(fù)N個(gè)startpage值為那網(wǎng)址.到注冊(cè)表中手工更改startpage值時(shí),提示無法編輯此值.（此值被病毒保護(hù),無法手工修改）.添加服務(wù)xvru到注冊(cè)表中（路徑HKEY_L0CAL_MACHINE\SYSTEM\ControlSet003\Services等）.在C:\windows\system32\drivers下面生成vcqkc.sys文件.注冊(cè)表中添加AppInitDLLs的值為kmon.dll.解決方法：.注冊(cè)表中刪除xvru的服務(wù)（分別將注冊(cè)表中的ControlSetOOl,ControlSet002,ControlSet003,CurrentControlSet下的Services的xvru服務(wù)刪除,或者通過搜索查看刪除此服務(wù)）.修改AppInit_DLLs的值為空..借助IceSword找到vcqkc.sys刪除文件，.同樣使用IceSword將注冊(cè)表中所有的startpage值修改為自己所想設(shè)置的主頁，（可能通過搜索查找更改）主頁被篡改的路徑如下：a.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Mainb.HKEY_CURRENT_U