浏览器主页被恶意修改 恶意修改主页办法.doc

浏览器主页被恶意修改 恶意修改主页办法 导读：就爱阅读网友为您分享以下“恶意修改主页办法”资讯，希望对您有所帮助，感谢您对92的支持! Dec 11 色字头上一把刀 20:10LokTou病毒研究所 金山云安全最近截获了一批假冒伪劣的“播放器”.这种伪装成“播放器”的文件也以最引人眼球的“成人播放器”为名。古人有云：色字头上一把刀。所以无论你是因为好奇还是好色而双击运行这个文件,那么,后果也只有一个,你中招了. 上图中,“成人播放器”这个文件利用了Window media player的图标来博取信任,好让你以为它真的是一个播放器文件.实际上这种掩眼法在现时也不少见,但往往还会有不少人会心存侥幸地去双击运行它. 当双击运行后,看到了一个类似于播放器的界面(上图),名字叫“波波影霸”.这个时候,第一感觉都会觉得它是个播放器.但实际上,它只个内嵌网页的程序,故意地做成播放器的样式迷惑大家.在程序的面板中右键属性即可看到它所链接的网页(如下图) 这个时候,大家可能有上当受骗了的感觉,明显是假冒伪劣产品嘛.但是,悄悄地告诉你,真正的麻烦现在才来. 关掉“播放器”的界面之后,打开”资源管理器”看一下,明明就没找开IE浏览器啊,为什么会有个IE进程(如下图)?一些有经验的用户就知道,自己肯定是中了流氓病毒了.是的,就是流氓病毒,它挂起了一个IE程序,在你的电脑后台悄悄地访问着一些网站.看到这,开始觉得怨了吧 看这个悄无声息在后台打开的IE进程,很多的人都会马上想到自己的浏览器,于是会马上打开看一下.这一看,会悲痛地发现,IE浏览器的主页也被修改了(下图) 主页被修改了不要紧,改回来不就行了嘛.可以当打开从IE浏览器里打开“Internet选项”的时候,是不是就呆了?因为从那里看到的浏览器的主页没有被修改,还是原来的那个设置(如下图). 开始心痛自己的爱机了吧.现在修改IE主页的手段还真的是层出不穷啊.想把主页改回来得花点心思才行啊. 原来这个病毒会把桌面和“开始”菜单,快速启动栏里本来的IE快捷方式给删除,然后重新建立一个新的IE快捷方式,看起来没什么感觉,但实际上已经在里面给加料了.在桌面的IE快捷方式右键打开属性面板.(看下图). 把网址作为了IE程序的参数,当你双击运行IE浏览器的时候,它就打开参数里的网址.这个时候,你把后面的网址删了,这一做法绝对是正确的.但删除了该参数之后,运行IE,你看到的还是那讨厌的网址.重新去看快捷方式后面的参数,发现又被添加进去了. 这也就是说,还有别的地方把这主页地址给保护起来了,会自动重写这个参数. 打开IE浏览器–gt;工具–gt;管理加载项.在里面可以看到两个很可疑的BHO(如下图).不错,正是它俩做的好事,在信息中能看到它们都冒充了联想和一些安全软件的文件,也能看到其所对应的DLL文件. 其中,wybhotool Class这一项所对应的wybho.dll这个文件就是负责保护快捷的参数不被删除. BrowserHelper.CBrowserHelper所对应的TecentMusic.dll这个文件就是负责主页不被修改. 所以,想要把主页改回来,就得先把这两个文件给删除才行.利用一些简单易用的工具就能找到这两个文件的路径,如金山清理专家中的粉碎工具把这两个文件给KO掉,剩下的就是把IE加载项里这两个文件的对应项清除掉.然后再把快捷方式里的参数删除.这个时候再打开IE浏览器就会发现,主页已经修改回来了. 可是，如果你想大喘一口气,觉得厄运已经过去了,我们告诉你，其实真正的恶梦就要来临了！ 用进程工具打开看一下后台的进程,你会非常后悔地发现,进程中有两个smss.exe进程,其中一个是真实的系统进程.而另一个的进程则是VB程序（VB是一种计算机语言）,可是，这个家伙的信息相当古怪.原来，它也就是传说中的“木马下载器”.它会将大量的病毒和木马源源不断的下载到你的电脑中，盗窃一切在病毒作者看来有价值的数据，比如网游账号啊、商业文档啊，甚至是你的照片. 因为病毒所下载的文件都由病毒作者后续制作以供下载的,量很大，这里就不拿出来一一分析了. 查杀方案： 已中招的用户可以用以下解决方案对系统进行修复. 方案1： 步骤一： 使用免费的“金山急救箱”扫描，清除绑架IE主页的恶意软件 下载地址/duba/tools/dubatools/ksm2/ksm2.exe（点击下面的大图也能下载哦） 步骤二：如果急救箱修复后，检查IE快捷方式，发现被修改，可直接删除桌面的IE快捷方式，再重建一个 操作方法： 双击我的电脑，浏览到c:\Program Files\Internet Explorer\IEX