针锋相对打赢主页保卫战.docVIP

针锋相对打赢主页保卫战 　　笔者的电脑运行速度越来越慢，系统经常弹出奇怪的警告窗口。于是决定重新安装系统，安装过程很顺利，当安装完毕后，系统的运行速度果然飞快。但是，当打开IE后，却发现里面可谓乱七八糟，收藏夹中充斥着垃圾网址，工具栏上按钮凌乱，而且自动打开某个内容杂乱的网页。将IE整理干净，笔者颇有信心，于是将收藏夹中垃圾网址清除，将杂乱的IE加载项，BHO插件等删除。但是，当试图恢复被绑架的IE主页时，却遇到了不小的麻烦，在IE选项窗口中发现和主页相关的内容和按钮全部处于灰色状态，无法对其进行修改，默认的主页为“www.5258.cc”。 　　使用常规方法，无法为IE主页“松绑” 　　笔者请出了金山急救箱这款安全利器，对系统进行安全扫描，果然发现一些IE被非法窜改的项目，执行修复操作，原以为这样可以解决问题，不过奇怪的是打开IE后，主页依然被锁定。换用诸如QQ安全管家的修复工具，也无法拯救IE主页。考虑到和IE主页相关的设定信息全部保存在注册表中，笔者决定亲自动手，将IE主页调整回来。 　　运行Registry WorkShop这款注册表专业编辑工具，在其主界面中点击菜单“Search”-“Find”项，在搜索窗口（如图1）中的“Find what：”栏中输入“www.5258.cc”，点击“Find”按钮，执行搜索操作，Registry WorkShop搜索速度极快，果然在窗口底部的检测列表中发现6处相关的注册表项目遭到非法修改。接着点击“Ctrl+R”项，在替换窗口中的“Replace with”栏中输入“”，点击“Replace”按钮，执行替换操作，即将原来的垃圾网址替换为指定的网址。当Registry WorkShop替身替换成功后，笔者打开IE，觉得主页应该已经变成自己需要的地址了。但是，网址“www.5258.cc”依然“顽固”地占据着主页，自动打开的还是垃圾页面。 　　 　　发现端倪，寻找绑架主页的“幕后黑手” 　　看来，仅仅依靠安全工具，或者对注册表进行修复是无法解决问题的，一定有流氓程序在后台运行，对注册表的变动情况进行监视，当发现IE主页被修复后，立刻对注册表进行恶意修改，恢复对IE主页的控制权。笔者运行“msconfig.exe”程序，在系统配置窗口中的“启动”面板（如图2）中仔细查看，果然发现名为“Printer Services”的启动项比较可疑，与其关联的程序名为“HPGuard.exe”，位于“C：＼Users＼Administrator＼AppData＼Roaming＼HPGuard”文件夹中。从名称上看，似乎是与HP打印机相关的程序，但是本机上并没有安装任何打印机。笔者打开命令提示符窗口，执行“taskkill /im hpguard.exe /f”命令，将该可疑进程关闭。之后按照上述方法，对注册表进行修复，发现IE的主页终于恢复正常了。 　　 　　清除流氓程序，自由设置IE主页 　　进入该程序的目录中，果然发现其并非善类，打开其中名为“HomePage.ini”的文件，发现其中分别针对IE、谷歌浏览器、世界之窗浏览器、360安全浏览器、QQ浏览器、搜狗浏览器等大家常用的浏览器，设置了恶意绑架网站以及对应的命令行参数（如图3）。看来，该恶意程序不仅绑架IE，还绑架其他的常用浏览器。打开“ShutCut.ini”文件，发现其特别针对360安全浏览器，进行了“贴心”的设计，包括对360安全浏览器个人桌面、公共桌面、任务栏等项目，分别进行了路径设定，“精心”为其预备了名为“daohang.5258.cc”的恶意网址（如图4）。可以肯定，对于使用360安全浏览器的用户来说，一定频繁遭到其骚扰。该目录中的“HpHook.dll”文件可能是封装恶意代码的动态库。 　　不过，打开其中的“$$a$$.bat”批处理文件，发现这是一个卸载程序，看来恶意程序的“开发者”还有些良知，允许用户卸载该恶意程序。了解以上原理后，先将“HPGuard.exe”进程关闭，之后删除该目录，最后清除名为“Printer Services”的启动项，这样终于将IE恢复正常了。至于IE选项窗口中和主页相关的“使用当前页”、“使用默认值”、“使用空白页”等项被锁定呈灰色显示的情况，需要运行“regedit.exe”程序，打开“HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel”、“ HKEY_USERS＼.DEFAULT＼Software＼Policies＼Microsoft＼Internet Explorer＼Control Panel”、“ HKEY_USERS＼S-1-5-18＼Softwar