浏览器主页被篡改的处理及思路

2024年2月20日发(作者：)

最近各大论坛很多类似的帖子，都没能得到很好的解决。昨天测试了个病毒，也是篡改主页的，分享下解决方法。

运行样本后，主页被改为

设置“使用空白页”后退出，IE属性里再去看，还是这个主页

用最新版本的清理助手扫描到两个东西

不正确的首页打开方式就是下面这个注册表键值屁股后面跟有参数

HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}SHELLOPENHOMEPAGECOMMANDREG_SZ01"%PROGRAMFILES%INTERNET

"

意思是，不管我IE属性主页选项里被设置成什么。只要从桌面快捷方式启动IE打开的是

执行清理后，仍更改不了主页！怀疑有隐藏更深的木马，扫描sreng日志。但除了几个映像劫持外，看不到可疑东西···

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution ]

/?> [File is missing]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution ]

/?> [File is missing]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution ]

[N/A]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution ]

/?> [File is missing]

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution ]

/?> [File is missing]

第一次时这样做了：删除了c:windwostemp目录下的几个文件(运行病毒时衍生的几个文件，用hips软件监控到的），删除了那些ifeo项。涛声依旧····

又扫描了一份狙剑的报告 也没看出问题来····

只好用最简单而原始的办法了，注册表搜索，找到了

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain这项

竟无法删除和修改项

查不到病毒，便想到权限的问题

果然是这样的，在“完全控制”那一行，“允许”下面的框打上勾后，那些项就可以删除了，主页也可以更改了！

（这个用户组MS不是很安全··对注册表也不是很清楚）你也可以选中everyone这个用户

删除了，再点添加-在弹出“选择用户或组”的对话框里选择-高级-立即查找-找到的用户中，选中你当前登陆计算机的用户，点确定。再给权限。

上面说到那几个劫持，这病毒有点特别了··我的avant也打不开···

继续搜索

这里同样删除不了。被修改了权限，加了权限后删除那几个ifeo，avant可以打开了。重

启后主页依旧可以自己设置。这个问题已经基本解决了！

这方法不通用，但可以参考下。如果没能解决，请开个帖说明下情况，怎样操作的，操作结果如何。我们才好给出解决方案。最近看过很多类似的帖子，LZ都是不怎么反馈情况。或给的信息不准确。

前阵我看到很多帖标题：主页被XXX给锁定了

什么叫锁定了？我这试毒这种情况就主页被锁定。改不了。还有的更严重，IE属性里的

使用默认主页 那几个建全是灰白的。这种情况多是病毒干扰。

如果设置主页选项里可以设置为A网址。但从桌面启动浏览器却是B。浏览器所在文件夹里启动是A。那可以分为以下两种情况

1、HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}SHELLOPENHOMEPAGECOMMANDREG_SZ01"%PROGRAMFILES%INTERNET "后面加了参数也就是B

2、浏览器快捷方式的属性被修改。

查看IE或其他浏览器的快捷方式的属性。你会发现上C:Program FilesInternet

后面跟着一个网址

或者是目标指向一个URL文件

第一种情况用windows清理助手可以解决，第二种情况貌似不行···自己是什么样的情况还请自己根据症状判断

一般的主页问题。360，兔子类软件是能搞定的。如果修复了不的话也不用盲目的挨个使用这类软件。根据自己的症状判断下问题所在。有必要的话可到论坛上发帖求助。发帖时描述清理症状，用什么软件清理过。清理结果如何。

给出几个建议。帮助大家判断浏览器主页问题

第一步，先得保证系统中的木马清理干净了。

推荐使用windows清理助手。能清理大部分木马。你用急救箱卡卡助手等一起上也可以。但要判断上面说的两种情况！

第二步，可以使用杀软扫描下，如果扫不出病毒。上个sreng日志。日志里没看问题的话。再去注册表搜索删除。

很多求助者都反映注册表删除没效果···我不知道他是哪种情况。怎么删除的。删除结果如何。

如果还有类似情况的求助者。请反馈下情况我们才好判断。在确保系统无活动病毒后。

搜索到的注册表项能不能删除？ 权限是哪个组的？设置权限 删除网址之后能不能设置主页

有一种情况是自己设置主页后。重启又IE又被改了。分两种情况观察：

1、重启后不运行其他程序。直接启动IE。如果被改了，这种情况可能是系统还有病毒存在。

建议到安全模式扫描sreng日志，狙剑或QQ医生的报告。发到各安全论坛给大虾们判断下

2、重启后不运行其他程序。直接启动IE。没有被改。后来上网或玩游戏后才被改。这种情况可能是用了

一下带毒的外挂，或一些游戏修改的。尝试下删除他们看能不能解决。

最后再介绍个最终极，也是最无奈的办法

HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}SHELLOPENHOMEPAGECOMMANDREG_SZ01"%PROGRAMFILES%INTERNET

"

意思是，不管我IE属性主页选项里被设置成什么。只要从桌面快捷方式启动IE就会打开的是

利用这个，到这个注册表键值后面添加你想设置的网址。这样，虽然你在IE属性里改不了主页。但只要你在这里改了。从桌面启动IE打开的网址就是你注册表后添加的网址。

运行（伪装QQ相册密码XX器）行为分析：

在%SystemRoot%temp文件夹里生成二个文件：和

内容为：

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain [8]

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution [8]

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution [8]

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution [8]

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution [8]

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution [8]

也就是对注册表Main 和映像劫持进行动作！

首先HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

增加Default_Page_URL指向

更改ie主页HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

Start Page为

对搜索同时也进行动作

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

Search Page指向

映像劫持腾讯、火狐和遨游浏览器，只要使用这几款浏览器的用户，一打开浏览器就会自动打开hxxp:///?网址

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution

Debugger

C:Program FilesInternet /?

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution

Debugger

C:Program FilesInternet /?

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution

Debugger

C:Program FilesInternet /?

同时映像劫持顽固木马专杀大全，可能怕顽固木马专杀大全能查杀掉这个马！~

（只要使用顽固木马专杀大全，那么20妙就要关机重启电脑！——很阴险哦。。。）

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution

Debugger

shutdown -r -t 20

如果中招用户要卸载软件，那么对不起，一律让你链接到hxxp:///?网址，让你欲哭无泪！

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File

Execution

Debugger

C:Program FilesInternet /?

注册表HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}SHELLOPENHOMEPAGECOMMAND默认值"%PROGRAMFILES%INTERNET

"更改为

C:Program FilesInternet

在桌面创建一个“Q14网址大全”快捷方式，指向链接hxxp://