怎样彻底去除恶意网站修改你的IE解决方法

怎样彻底去除恶意网站修改你的IE解决方法

作者: 班明星 发布日期: 2004-10-09 查看数: 82 出自: http://www.5iyt.net

进来许多网友上网时误入恶意网站,将你的IE修改的面目全非,至使打开IE就得登入那恶意的网站和跳出广告,缠绕在你的电脑上无法解脱,下面以这个恶意 http://www.58q.com 网站为例,进行详解.

进入这个网站就会修改你的主页,并有木马病毒隐 藏在你的电脑上,即使你修复了注册表,在电脑开机时照样又修改了注册表,不信你可试试,图1就是在修复注册表后,点击使用默认页又出现

的网址.

下面我们开始修改注册表:

1、IE默认首页被修改的故障排除。

IE浏览器上方的标题栏被改成“欢迎访问??网站”的样式，这是最常见的篡改手段，受害者众多。排除办法可通过修改注册表来解决：

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键； ②展开注册表到

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main

下，看到图2在右半部分窗口中找到串值“Start Page”双击 ，将Start Page的键值改为“about:blank”即可；

③同理，展开注册表到

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main 在右半部分窗口中找到串值“Start Page”，然后按②中所述方法处理。 ④退出注册表编辑器，重新启动计算机，一切OK了！

特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

解决办法：运行注册表编辑器regedit.exe，然后依次展开

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run

主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\\Program

Files\\registry.exe，最后从IE选项中重新设置起始页就好了。

2、恶意网页篡改IE的默认页的排除方法。

有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\ Main\\Default_Page_URL

“Default_Page_URL”这个子键的键值即起始页的默认页。排除办法：

运行注册表编辑器，然后展开上述子键，将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。

3、上网时发生非法操作的排除。

上网时经常出现“非法操作”的提示，只有关闭重新打开才能消除。其原因和排除方法：一是可能是数据在传输过程中发生错误，当传过来的信息在内存中错误积累太多时便会影响正常浏览，只能重新调用或重启机器；二是清除硬盘缓存；三是升级浏览器版本；四是硬件兼容性差，可与商家提出更换的要求。

4、如何消除操作系统和浏览器在他人网站上显示。

浏览有些网站，它总能知道我采用的操作系统、浏览器、访问该站点的次数以及每次停留的时间，并且直接把这些内容显示在他的网站上，不知者弄得怪吓人的。消除办法：将Cookies文件夹的属性改为只读即可。

5、系统找不到网卡的故障原因及排除方法。

当网卡正确插到主板PCI或ISA插槽中后，系统无法找到该设备，也无法安装对应的驱动程序。在打开控制面板中的系统对象，选择设备管理器标签，单击刷新按钮，仍然没有发现新的设备。解决的办法：启动计算机，进入CMOS，选择其中的“BIOS FEATURES SETUP”一项，在“Report No FDD For Windows95\后的“Yes”改为“No”即可。

6、在“网上邻居”中看不到任何用户名称的故障排除。

在“网上邻居”中看不到任何用户的计算机，包括自己的计算机。一般情况下，这是网卡的安装和设置不正确造成的。通过选择“开始/设置/控制面板/系统/设备管理器”，在列表框中找到网卡后单击“属性”按钮，在出现的对话框中看网卡与系统中的其它设备有否发生冲突，如有冲突则在“网上邻居”中看不到任何计算机的名称。

7、IE浏览器缺省主页被修改的排除办法。

修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改回来。主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：

[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel] \

[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel] \

[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel] \

排除办法：将上面这些DWORD值改为“0”即可恢复功能。

8、默认首页变灰色且按扭不可用的故障排除。

这是由于注册表HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel

下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改为“1”（即为灰色不可选状态）。

排除办法：将“homepage”的键值改为“0”即可。

9、IE标题栏被修改的故障排除。

在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值Window Title下的键值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。

具体说来受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Window Title HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Window Title 排除办法：

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键； ②展开注册表到

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main

下，在右半部分窗口中找到串值“Window Title” ，将该串值删除即可，或将Window Title的键值改为“IE浏览器”等你喜欢的名字； ③同理，展开注册表到

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main 然后按②中所述方法处理。

④退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题解决了！

10、IE右键菜单被修改的故障排除。 受到修改的注册表项目为：

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt 下被新建了网页的广告信息，并由此在IE右键菜单中出现！ 排除办法：打开注册标编辑器，找到

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\MenuExt

删除相关的广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉啊，这两个可是“正常”的呀，除非你不想在IE的右键菜单中见到它们。

11、IE默认搜索引擎被修改的故障排除。

在IE浏览器的工具栏中有一个搜索引擎的工具按钮，可以实现网络搜索，被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search\\CustomizeSearch HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search\\SearchAssistant 排除办法：运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。

12、排除上网自动弹出的广告信息。

我们每次上网，经常有网页广告信息弹出！让人很讨厌啊。 排除办法：打开注册表编辑器，找到

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Winlogon 这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决问题了。

13、浏览网页注册表被禁用故障的排除。 上网时，注册表被禁用，这是由于注册表

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“0”即可恢复注册表的使用。

解决办法：用记事本程序建立以REG为后缀名的文件，将下面这些内容复制在其中就可以了。 REGEDIT4

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System] “DisableRegistryTools”=dword:00000000

14、查看““源文件”菜单被禁用故障的排除。

在IE窗口中点击“查看”→“源文件”，发现“源文件”菜单已经被禁用。这是恶意网页修改了注册表，具体的位置为： 在注册表

HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer

下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。 在注册表

HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions

下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。 通过上面这些键值的修改就达到了在IE中使鼠标右键失效，使“查看”菜单中的“源文件”被禁用的目的。要向你说明的是第2点中提到的注册表其实相当于第1点中提到的注册表的分支，修改第1点中所说的注册表键值，第2点中注册表键值随之改变。

排除办法：将以下内容另存为后缀名为reg的注册表文件，比方说unlock.reg，双击unlock.reg导入注册表，不用重启电脑，重新运行IE就会发现IE的功能恢复正常了。 REGEDIT4

[HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions] “NoViewSource”=dword:00000000

\

[HKEY_USERS\\.DEFAULT\\Software\\Policies\\Microsoft\\Internet Explorer\\Restrictions] “NoViewSource”=dword:00000000

“NoBrowserContextMenu”=dword:00000000

要特别注意的是，在你编制的注册表文件unlock.reg中，“REGEDIT4”一定要大写，并且它的后面一定要空一行，还有，“REGEDIT4”中的“4”和“T”之间一定不能有空格，否则将前功尽弃！许多朋友写注册表文件之所以不成功，就是因为没有注意到上面所说的内容，这回该注意点喽。请注意如果你是Win2000或WinXP用户，请将“REGEDIT4”改为Windows Registry Editor Version 5.00。

15、对付 Backdoor.D.WinSys 木马的窍门

介绍的网页: http://www.xfilt.com/tech/d_winsys.htm

最近网络中总是充斥着一种网页木马 Backdoor.D.WinSys，此木马是以隐藏在网页中来传播的，并且主要是在一些音乐、电影网站中，只要用户访问这种网页就会自动下载并生成隐藏文件 WINSYS.cer、WINSYS.vbs 木马文件，接着会执行它，并且会在下次电脑启动时再次自动执行，由于隐藏在网页中所以流传甚广，危害很大。不过费尔托斯特安全用户只要平时注意打开实时防护一般都可以有效阻止它的感染。但现在有一些新的传播形式，可以逃过检查，现在告诉大家一个窍门，使用此方法不但可以阻止这个木马而且可以极为有效的阻止这一类木马的感染和传播（费尔托斯特安全的未注册版用户虽然在发现此木马时不显示具体的名称，但使用下面的方法设置后同样可以起到防护作用）： 费尔托斯特安全用户解决办法（未注册版同样有效）：

打开费尔托斯特安全的“文件”面板

在左边的“实时扫描文件类型”中分别手工新增 PL、HTR、HTA、CER 文件类型 重启费尔托斯特安全（停止托斯特->启动托斯特）

这样，当再访问到含有这类破坏代码的网页时就会被费尔托斯特安全实时拦截到 HTML.Shell.Virus 病毒并报警，从而阻止它的运行。

普通用户解决办法：

先手工把这个 C:\\$NtuninstallqXXXXXX$ 目录整个删除，这里要注意这个目录的一般并不固定，但它的总体形式一般总是“$NtuninstallqXXXXXX”的形式。如果您在资源管理中看不到也许是因为您的系统没有打

开“查看隐藏文件”的设置，请再这样设置一下： 打开“我的电脑”

依次打开菜单“工具/文件夹选项”

然后在弹出的“文件夹选项”对话框中切换到“查看”页

在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项

最后点击“确定”

做了这几步后您再找一下这个形式的目录，如果找到就把它整个删除掉

在“开始/运行”中运行 regedit.exe 命令打开注册表编译器，然后直接 F3 键打开搜索窗口，在中间输入“winsys.cer”并搜索。这样只要在注册表中发现有此内容的您全部把它删除掉，直到搜索完毕找不到有关值。

在未联接到 Internet 的情况下打开IE，并依次打开“工具/Internet选项/删除文件”，然后在弹出的对话框中选中“删除所有脱机内容”选项，然后点击“确定”。做完这一步之后先别着急关闭这个“Internet选项”对话框，请接着按下面的步骤继续做

查看“Internet选项”对话框中“主页”处的地址，如果它不是您自己设置的网站主页或是一个非常陌生的网址则记下这个网址（只记 http:// 之后的内容，可以用鼠标选中后使用 Ctrl+C 键直接复制），然后按照第2步的方法从注册表全部搜索出并删除有关这个网址的注册表键或值 这样就可以清除掉此木马了。

图3是删除了C:\\$NtuninstallqXXXXXX$ 目录后在优化大师的开机优化里查出的还存在.那就到金山公司去下载注册表修改工具,是不错的修复软件功能比较的多，也方便.

下载页：http://www.duba.net/download/3/8.shtml

通过以上几种方法,就能彻底恢复你的IE了,让你更轻松的上网冲浪.

“家园(Script.Hompage)”病毒 警惕程度：★★★☆

病毒类型：脚本病毒，通过网页传播 依赖系统： WIN9X/NT/2000/XP

该病毒会利用新的IE漏洞进行传播，即使是打了SP1补丁的用户也不能幸免。病毒运行时会创建目录C:\\$NtUninstallQ887678$，并释放两个病毒文件：winsys.cer和system.vbs，用户要注意分辨。

病毒发作时会修改IE的十几项设置，并把用户IE主页和其他页面设置为恶意站点，普通的注册表修复工具无法完全修复该病毒造成的影响，因此预防这个病毒的方法就是打开杀毒软件的脚本监控程序。

有很多朋友在上面说他的IE浏览器总是有这样那样的问题。象无故弹出一些广告窗口啊~~等等 如今推荐两种解决方案：

一、安装3721的修复ie工具（本人觉得很好用）。在www.3721.com可下载（具体自己找找）不过有朋友说3721的广告拦截有一些问题。比如原来应弹出的java窗口弹不出（主要是在线看电影是出现），还有就是导致输入发切换有一些问题（不过北京3721承诺已解决此问题）。 二、如果不喜欢装3721的朋友可以试试自己修改注册表，具体做法如下： 在开始菜单中运行regedit，而后：

1.解决IE属性主页不能修改的问题（恶意更改IE主页为自己的链接）

HKEY_USERS\\.DEFAULT\\SOFTWARE\\POLICIES\\MICROSOFT\\INTERNET EXPLORER\\CONTROL PANEL 将\的值从\改为\或直接删除CONTROL PANEL。 2.修改IE的标题栏

HKEY_LOCAL_MACHINE\\SOFTWARE\\MICROSOFT\\INTERNET EXPLORER\\MAINX HKEY_CURRENT_USER\\SOFTWARE\\MICROSOFT\\INTERNET EXPLORER\\MAINN3W^ 在注的IE5.0/IE5.5/IE6.0的安全漏洞；

2.借助于其它来历不明的软件(如“藏鲸阁”等)。

所以要想防范QQ病毒，您需要做到以下两点： 1.为您的IE浏览器打上最新的补丁程序；

2.上网时对于弹出的来历不明的安装对话框不要轻易去安装它(目前主要是“藏鲸阁”等)。

强烈建议您安装最新的IE6.0SP1版本的浏览器，它可以有效的防范QQ病毒以及不良网站上的其它有害程序的入侵。

http://www.spant.net/

不能怪杀毒软件

如果你会看进程的话,查看一下你开机启动的进程......

要不这样,你把你开机所有的进程都关掉.重新启动看看还有哪个启动进程自己开启来了.........那么就证明,那个应该就是木马文件.根据所提示的启动选项的文件的具体地址,找出来,删除掉,就可以了......当然..记得重新启动前..把你的主页修改为空白的....呵呵......如果删除不了.并且已经知道文件的具体路径,可以去安全模式删除.因为在安全模式的话,那些启动选项是不加载的.如果是NT系统.它强行加载了.可以用任务管理器把进程关闭掉,就可以删除掉了

本文来源：https://www.bwwdw.com/article/9bp7.html