浏览器主页被篡改的处理和思路.doc

最近各大论坛很多类似的帖子，都没能得到很好的解决。昨天测试了个病毒，也是篡改主页的，分享下解决方法。? ?运行样本后，主页被改为设置“使用空白页”后退出，IE属性里再去看，还是这个主页用最新版本的清理助手扫描到两个东西不正确的首页打开方式就是下面这个注册表键值屁股后面跟有参数HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\SHELL\OPENHOMEPAGE\COMMAND\\REG_SZ01%PROGRAMFILES%\INTERNET EXPLORER\IEXPLORE.EXE意思是，不管我IE属性主页选项里被设置成什么。只要从桌面快捷方式启动IE打开的是执行清理后，仍更改不了主页！怀疑有隐藏更深的木马，扫描sreng日志。但除了几个映像劫持外，看不到可疑东西··· [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe]? ? IFEO[firefox.exe]C:\Program Files\Internet Explorer\IEXPLORE.EXE /???[File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Maxthon.exe]? ? IFEO[Maxthon.exe]C:\Program Files\Internet Explorer\IEXPLORE.EXE /???[File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SuperKiller.exe]? ? IFEO[SuperKiller.exe]shutdown -r -t 20??[N/A][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TTraveler.exe]? ? IFEO[TTraveler.exe]C:\Program Files\Internet Explorer\IEXPLORE.EXE /???[File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\uninst.exe]? ? IFEO[uninst.exe]C:\Program Files\Internet Explorer\IEXPLORE.EXE /???[File is missing] 第一次时这样做了：删除了c:\windwos\temp目录下的几个文件(运行病毒时衍生的几个文件，用hips软件监控到的），删除了那些ifeo项。涛声依旧····又扫描了一份狙剑的报告 也没看出问题来····只好用最简单而原始的办法了，注册表搜索，找到了HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main这项竟无法删除和修改项查不到病毒，便想到权限的问题果然是这样的，在“完全控制”那一行，“允许”下面的框打上勾后，那些项就可以删除了，主页也可以更改了！（这个用户组MS不是很安全··对注册表也不是很清楚）你也可以选中everyone这个用户删除了，再点添加-在弹出“选择用户或组”的对话框里选择-高级-立即查找-找到的用户中，选中你当前登陆计算机的用户，点确定。再给权限。上面说到那几个劫持，这病毒有点特别了··我的avant也打不开···继续搜索这里同样删除不了。被修改了权限，加了权限后删除那几个ifeo，avant可以打开了。重启后主页依旧可以自己设置。这个问题已经基本解决了！? ???这方法不通用，但可以参考下。如果没能解决，请开个帖说明下情况，怎样操作的，操作结果如何。我们才好给出解决方案。最近看过很多类似的帖子，LZ都是不怎么反馈情况。或给的信息不准确。前阵我看到很多帖标题：主页被XXX给锁定了 什么叫锁定了？我这试毒这种