回復被篡改的IE首頁
發表於 : 2004-05-17 00:14:14
http://www.cbifamily.com/showcontent.php?articleid=9062
推荐理由:
相信篡改IE首页的事情很多人都遇到过,解决方法也简单,下个软件改回来就是了。不过有些篡改还是很难对付的,例如这种IE地址栏里仍然显示的是“about:blank”,可是页面的内容却不是空白,而是显示了一个有内容的“search for”网页!如图所示。
解决方法:
常规方法(失败)
进入“IE/工具/Internet选项”,发现“地址”后面的“about:blank”并没有变灰,于是顺手改为:http://www.sohu.com,点确定退出,关闭当前的IE,然后重新进入一看,又回到了刚才的“about:blank"页面。
此时判断为注册表被修改了,开机时加载了一个常驻内存的程序,因此就直接进入了3721上网助手页面,点击“立即修复”按钮,进行修复,提示修复成功,可我重新打开IE后,发现问题依旧。打开注册表,把和IE相关的项目一项一项的检查,还是没有发现问题,又运行了msconfig.exe,(这个文件是从winxp拷来的,可直接在win2000下使用)在其“startup”里也没发现可疑的开机自动运行的程序。又试用IE修复专家,铁盾IE保护器等等,都没有解决问题。
搜索大法(成功)
重新打开IE,在出现的“about:blank”页面上点右键,选“查看源文件”仔细观察里面的内容,发现了这么一行代码:action="http://searchx.cc/search.php",从自己编网页的经验判断,这是一个执行搜索命令的网页链接,别的代码都是一些javascript语句,以此为突破口,先是在注册表里搜索“searchx”这几个字,没有找到,便把目光投向了c:\winnt目录了,要在这个目录里找包含“http://searchx.cc/search.php”这几个字符的文件,可真是不好找,要知道这个目录时足足有8000多个文件啊:(,使用UltraEdit这个软件,依次进入“搜索/批量文件查找”,在查找里填入“http://searchx.cc/search.php”,文件类型里填入“*.*”,目录里填入“c:\winnt”,然后把“搜索子目录”打上勾,再点击“查找”。10分钟后,出现了查找结果在“c:\winnt\system32\hdhb.dll”文件里发现了要查找的字符。
马上进入了“c:\winnt\system32”,找到“hdhb.dll”文件,按del键,出现提示:“该文件正在使用中,无法删除”。打开copylock(这个软件有删除正在使用文件功能),点“add/files to delete”,选中要删的文件,点apply,再按提示重启电脑即可。斩“毒”要除根,还得进入注册表,在“开始/运行”,里输入:“regedit”,然后搜索“hdhb.dll”,把所有找到的项目全部删除即可。
UltraEdit下载地址 http://www.cbifamily.com/down/200414/network/uedit.exe
copylock下载地址 http://www.cbifamily.com/down/200414/ne ... pylock.zip
推荐理由:
相信篡改IE首页的事情很多人都遇到过,解决方法也简单,下个软件改回来就是了。不过有些篡改还是很难对付的,例如这种IE地址栏里仍然显示的是“about:blank”,可是页面的内容却不是空白,而是显示了一个有内容的“search for”网页!如图所示。
解决方法:
常规方法(失败)
进入“IE/工具/Internet选项”,发现“地址”后面的“about:blank”并没有变灰,于是顺手改为:http://www.sohu.com,点确定退出,关闭当前的IE,然后重新进入一看,又回到了刚才的“about:blank"页面。
此时判断为注册表被修改了,开机时加载了一个常驻内存的程序,因此就直接进入了3721上网助手页面,点击“立即修复”按钮,进行修复,提示修复成功,可我重新打开IE后,发现问题依旧。打开注册表,把和IE相关的项目一项一项的检查,还是没有发现问题,又运行了msconfig.exe,(这个文件是从winxp拷来的,可直接在win2000下使用)在其“startup”里也没发现可疑的开机自动运行的程序。又试用IE修复专家,铁盾IE保护器等等,都没有解决问题。
搜索大法(成功)
重新打开IE,在出现的“about:blank”页面上点右键,选“查看源文件”仔细观察里面的内容,发现了这么一行代码:action="http://searchx.cc/search.php",从自己编网页的经验判断,这是一个执行搜索命令的网页链接,别的代码都是一些javascript语句,以此为突破口,先是在注册表里搜索“searchx”这几个字,没有找到,便把目光投向了c:\winnt目录了,要在这个目录里找包含“http://searchx.cc/search.php”这几个字符的文件,可真是不好找,要知道这个目录时足足有8000多个文件啊:(,使用UltraEdit这个软件,依次进入“搜索/批量文件查找”,在查找里填入“http://searchx.cc/search.php”,文件类型里填入“*.*”,目录里填入“c:\winnt”,然后把“搜索子目录”打上勾,再点击“查找”。10分钟后,出现了查找结果在“c:\winnt\system32\hdhb.dll”文件里发现了要查找的字符。
马上进入了“c:\winnt\system32”,找到“hdhb.dll”文件,按del键,出现提示:“该文件正在使用中,无法删除”。打开copylock(这个软件有删除正在使用文件功能),点“add/files to delete”,选中要删的文件,点apply,再按提示重启电脑即可。斩“毒”要除根,还得进入注册表,在“开始/运行”,里输入:“regedit”,然后搜索“hdhb.dll”,把所有找到的项目全部删除即可。
UltraEdit下载地址 http://www.cbifamily.com/down/200414/network/uedit.exe
copylock下载地址 http://www.cbifamily.com/down/200414/ne ... pylock.zip