劉景云

筆者的電腦運行速度越來越慢，系統經常彈出奇怪的警告窗口。于是決定重新安裝系統，安裝過程很順利，當安裝完畢后，系統的運行速度果然飛快。但是，當打開IE后，卻發(fā)現里面可謂亂七八糟，收藏夾中充斥著垃圾網址，工具欄上按鈕凌亂，而且自動打開某個內容雜亂的網頁。將IE整理干凈，筆者頗有信心，于是將收藏夾中垃圾網址清除，將雜亂的IE加載項，BHO插件等刪除。但是，當試圖恢復被綁架的IE主頁時，卻遇到了不小的麻煩，在IE選項窗口中發(fā)現和主頁相關的內容和按鈕全部處于灰色狀態(tài)，無法對其進行修改，默認的主頁為“www.5258.cc”。

使用常規(guī)方法，無法為IE主頁“松綁”

筆者請出了金山急救箱這款安全利器，對系統進行安全掃描，果然發(fā)現一些IE被非法竄改的項目，執(zhí)行修復操作，原以為這樣可以解決問題，不過奇怪的是打開IE后，主頁依然被鎖定。換用諸如QQ安全管家的修復工具，也無法拯救IE主頁。考慮到和IE主頁相關的設定信息全部保存在注冊表中，筆者決定親自動手，將IE主頁調整回來。

運行Registry WorkShop這款注冊表專業(yè)編輯工具，在其主界面中點擊菜單“Search”-“Find”項，在搜索窗口（如圖1）中的“Find what：”欄中輸入“www.5258.cc”，點擊“Find”按鈕，執(zhí)行搜索操作，Registry WorkShop搜索速度極快，果然在窗口底部的檢測列表中發(fā)現6處相關的注冊表項目遭到非法修改。接著點擊“Ctrl+R”項，在替換窗口中的“Replace with”欄中輸入“www.baidu.com”，點擊“Replace”按鈕，執(zhí)行替換操作，即將原來的垃圾網址替換為指定的網址。當Registry WorkShop替身替換成功后，筆者打開IE，覺得主頁應該已經變成自己需要的地址了。但是，網址“www.5258.cc”依然“頑固”地占據著主頁，自動打開的還是垃圾頁面。

發(fā)現端倪，尋找綁架主頁的“幕后黑手”

看來，僅僅依靠安全工具，或者對注冊表進行修復是無法解決問題的，一定有流氓程序在后臺運行，對注冊表的變動情況進行監(jiān)視，當發(fā)現IE主頁被修復后，立刻對注冊表進行惡意修改，恢復對IE主頁的控制權。筆者運行“msconfig.exe”程序，在系統配置窗口中的“啟動”面板（如圖2）中仔細查看，果然發(fā)現名為“Printer Services”的啟動項比較可疑，與其關聯的程序名為“HPGuard.exe”，位于“C：＼Users＼Administrator＼AppData＼Roaming＼HPGuard”文件夾中。從名稱上看，似乎是與HP打印機相關的程序，但是本機上并沒有安裝任何打印機。筆者打開命令提示符窗口，執(zhí)行“taskkill /im hpguard.exe /f”命令，將該可疑進程關閉。之后按照上述方法，對注冊表進行修復，發(fā)現IE的主頁終于恢復正常了。

清除流氓程序，自由設置IE主頁

進入該程序的目錄中，果然發(fā)現其并非善類，打開其中名為“HomePage.ini”的文件，發(fā)現其中分別針對IE、谷歌瀏覽器、世界之窗瀏覽器、360安全瀏覽器、QQ瀏覽器、搜狗瀏覽器等大家常用的瀏覽器，設置了惡意綁架網站以及對應的命令行參數（如圖3）?？磥?，該惡意程序不僅綁架IE，還綁架其他的常用瀏覽器。打開“ShutCut.ini”文件，發(fā)現其特別針對360安全瀏覽器，進行了“貼心”的設計，包括對360安全瀏覽器個人桌面、公共桌面、任務欄等項目，分別進行了路徑設定，“精心”為其預備了名為“daohang.5258.cc”的惡意網址（如圖4）。可以肯定，對于使用360安全瀏覽器的用戶來說，一定頻繁遭到其騷擾。該目錄中的“HpHook.dll”文件可能是封裝惡意代碼的動態(tài)庫。

不過，打開其中的“$$a$$.bat”批處理文件，發(fā)現這是一個卸載程序，看來惡意程序的“開發(fā)者”還有些良知，允許用戶卸載該惡意程序。了解以上原理后，先將“HPGuard.exe”進程關閉，之后刪除該目錄，最后清除名為“Printer Services”的啟動項，這樣終于將IE恢復正常了。至于IE選項窗口中和主頁相關的“使用當前頁”、“使用默認值”、“使用空白頁”等項被鎖定呈灰色顯示的情況，需要運行“regedit.exe”程序，打開“HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel”、“ HKEY_USERS＼.DEFAULT＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel”、“ HKEY_USERS＼S-1-5-18＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel”等分支，分別將其右側的名為“HomePage”的鍵值設置為0，就可以擺脫上述限制了。

清理不法驅動文件，恢復IE正常功能

一般來說，當發(fā)現IE主頁被綁架后，可以打開注冊表編輯器，點擊“Ctrl+F3”鍵，輸入惡意網址內容，對注冊表進行全面搜索，發(fā)現并清除隱藏惡意網站的鍵值。但是，有些惡意網址可能會被進行加密處理，例如對于“www.5258.cc”網址來說，經過加密后，會變成“http：//%77%77%77%2E%35%32%35%38%2E%63%63/”字樣，隱藏在特定的注冊表鍵值中，則很難搜索到。為此可以運行Sreng這款安全工具。在其主界面（如圖5）左側點擊“智能搜索”按鈕，點擊“掃描”按鈕，操作完畢后，將掃描結果保存為獨立的文件。在該文件中的“瀏覽器加載項”部分就很容易發(fā)現加密后的惡意網址，以及對應的注冊表位置，進入可以將其找到并清除。

對以上拯救IE主頁的實例分析，可以看到，越來越多的惡意程序已經不滿足于對注冊表進行簡單修改，來實現對IE的劫持，而是采用更加高級的手段進行破壞活動。例如，其可能采用創(chuàng)建驅動程序的手法，從底層侵入系統，這樣，當系統啟動后，就會自動加載該不法驅動模塊，當其被激活后，就會對IE主頁以及其他配置項目進行竄改，即使您對注冊表進行全面搜索，也無法發(fā)現其蹤跡。利用AutoRuns這款安全工具，可以看穿其真面目。

在AutoRuns主界面中打開“驅動”面板（如圖6），可以顯示所有的驅動模塊。對于可疑模塊，AutoRuns會以黃色進行標識。對于危險性高的模塊，AutoRuns會以紅色進行標識，對其進行比較分析，可以很容易發(fā)現其中的不法分子，對于拿不準的模塊，可以在其右鍵菜單上點擊“在線搜索”項，對其進行詳細分析。對于確認的不法驅動模塊，可以在其右鍵菜單上點擊“刪除”項，將其清除。也可以進入WinPE環(huán)境，來刪除對應的垃圾驅動文件。為了防止出錯，可以先點擊“跳轉到文件夾”項，將對應的驅動文件復制出來，如果刪除出錯可以及時恢復。

刪除惡意DLL模塊，讓IE遠離騷擾

此外，惡意程序還會采用將特制的DLL動態(tài)庫注入到IE進程中，來動態(tài)地綁架IE主頁。對此可以運行PowerTool這款安全工具，對進程進行仔細檢查，來發(fā)現問題所在。例如，當發(fā)現IE設置被竄改，使用正常方法無法修復時，可以運行PowerTool，在其主界面中打開“進程管理”面板（如圖7），在進程列表中選擇“iexplorer.exe”，在窗口底部的“模塊”欄中仔細查找，就很容易發(fā)現可疑的DLL文件。

清除的方法是關閉IE，然后再打開其存儲的路徑（例如“C：＼Windows＼system32”等），找到該DLL文件并對其更名或者刪除，并重啟系統就可以恢復IE正常設置項目了。有時，當您在修改IE快捷方式各項屬性時，系統會彈出“無法將所做的改動保存到 Internet Explorer.lnk 拒絕訪問”的提示，表明惡意程序將該快捷方式設置成了只讀屬性，只需將其屬性恢復到正常狀態(tài)，就可以進行所需的調整操作了。

恢復IE主頁的其它小技巧

此外，惡意程序也可能將相關路徑的屬性設置為只讀，例如將“C：＼Documents and Settings＼Administrator＼桌面”、“C：＼Documents and Settings＼Administrator＼Application Data＼Microsoft＼Internet Explorer＼Quick Launch”等特殊文件夾設置為只讀屬性，同樣可以阻擋用戶恢復IE快捷方式的相關屬性。如果出現無法取消只讀屬性的問題，說明權限設置被惡意修改。在上述文件夾屬性窗口中的“安全”面板檢查當前用戶是否擁有對該文件夾的完全控制、修改等權限，設置好合適的權限后，再對其進行修改。

如果對注冊表進行修改時，系統彈出錯誤提示的話，這說明惡意程序對相關注冊表鍵值的權限進行了封鎖，為此可以在對應子健的右鍵菜單上點擊“權限”項，針對當前賬戶啟用“完全控制”和“讀取”兩項權限。如果惡意程序將當前賬戶從權限列表中刪除，則需要點擊“高級”按鈕，之后添加當前賬戶，然后賦予其權限，就可以正常操作注冊表了。此外，如果在Windows 7等系統中遇到桌面上IE圖標無法刪除和修改的話，很可能是惡意程序將IE快捷方式設置為共享狀態(tài)的緣故，處于共享狀態(tài)的快捷方式是無法被刪除的。處理方法很簡單，打開IE快捷方式的共享設置界面，將其共享屬性消除，之后就可以對其進行修改或刪除操作。