浏览器主页被篡改初步解决方法

显示全部楼层 · 发表于 2009-6-15 23:25:33

浏览器主页被恶意篡改问题一直存在，但目前发现被改的地方也就那么几处。

通常注册表Main、openhomepage，浏览器快捷方式，，系统文件被篡改，恶意驱动服务等导致主页被改。

下面2个工具是我通过修复注册表项以及快捷方式做的恢复主页正常的工具。

home.exe初步实现以下功能：
1.可以自定义主页;
2.恢复HKCU（HKLM）\Software\Microsoft\Internet Explorer\Main下的一些字符串为默认值，包括Search Page、Default_Page_URL等；
3.恢复openhomepage\command下的默认字符串的数据为"C:\Program Files\Internet Explorer\IEXPLORE.EXE"
4.删除桌面上原有的IE快捷方式，重新建立IE图标（可以在属性里设置主页的那个）

一般问题用home.exe修复即可。

rehome.exe增加了保护浏览器主页不被篡改的保护功能（通过设置注册表权限，给与SYSTEM完全控制和Administrators组只读权限）。保护后你就无法通过其他方式（常规方式，比如在浏览器里设置主页）更改主页了，你只需重新运行rehome.exe输入想要的主页即可，按上面的提示操作即可：

运行时必须以管理员身份运行。

注:附件里的2工具被很多杀软报毒 -_-||

但有的浏览器主页会被恶意程序监视，发现主页被改后会立即恢复原来的
也有是通过恶意驱动或服务等方式的

如果附件中的home.exe不能依然不能解决主页被改问题，就得借助其他工具了

求助时可以先上传SREng，初步判断是否存在恶意程序等

当SREng日志显示正常时，就得另辟蹊径了

检查系统文件是否被篡改，运行sigverif，校验系统文件，检查出未签名文件（比如shdoclc.dll被篡改。多谢 yangdw指点 ^_^）

还不行继续往下操作。

当然每个人的解决方法或许不一样，这里我推荐先使用小红伞的ARK工具Avira AntiRootkit Tool扫描。以前做过介绍，当时还是BETA版本的。今天发现已经更新并且不用安装，更加方便。

其主界面如下：

按其默认设置即可。以前介绍过，就不多说了。

如果还不能解决问题，那么恭喜你，碰到棘手问题了。请说明下浏览器主页是在对系统做了什么操作后被篡改的。
我们可以“模拟现场”查处元凶 ^_^

这里也放出一个修复浏览器主页go2000.com的程序go2000.exe，可以试着用home.exe修复主页。
但没有修复成功，为什么呢？
会发现，home.exe会恢复主页，但恢复之后go2000.exe释放的一个程序会监视注册表改动情况，一旦发现被改，会自动恢复，使打开浏览器时主页依然是go2000.com结束go2000.exe对浏览器主页的保护作用，然后就可以用home.exe恢复主页了。

注：go2000.exe仅供测试使用，严禁用于其他非法用途！

[ 本帖最后由 backway 于 2009-6-16 12:36 编辑 ]

显示全部楼层 · 发表于 2009-6-15 23:46:57

原创的就得支持。写的不容易啊。主页被篡改确实是件麻烦事啊。

[ 本帖最后由 iewayne 于 2009-6-15 23:49 编辑 ]

显示全部楼层 · 发表于 2009-6-16 08:41:57

支持backway版主！
支持原创工具

显示全部楼层 · 发表于 2009-6-16 08:55:48

补充一点，除了楼主所说的情况外还有一种比较常见而且不易排除的，就是shdoclc.dll这个文件（具体这个dll是个嘛东东，Google一下就知道了），用IE浏览网页的时候，系统会调用shdoclc.dll中的资源，windows系统规定在载入dll文件的时候，如果dll文件含有dllmain函数就对它进行初始化，但是正常的shdoclc.dll文件是没有dllmain函数的，如果用Dependency Walker看一下API输出表，函数输出表不是空的就是被替换了。解决方法很简单，找个与你系统版本对应的这个文件替换回来

显示全部楼层 · 发表于 2009-6-16 09:02:01

文章不错，工具也收下了

显示全部楼层 · 发表于 2009-6-16 11:04:15

方法很不错，谢谢分享呀

显示全部楼层 · 发表于 2009-6-16 11:17:20

嗯，谢谢指点^_^
刚google了
vista系统貌似没有这个文件
XP下有如果不正常而且IE加载了的话从SREng日志里也应该能检查出来吧....
看来是不是需要添加个验证shdoclc.dll文件的功能......

显示全部楼层 · 发表于 2009-6-16 11:43:54

这种文章可以帮助一些中毒的朋友，虽然现在不一定有人关注

显示全部楼层 · 发表于 2009-6-16 12:09:26

原帖由 backway 于 2009-6-16 11:17 发表
嗯，谢谢指点^_^
刚google了
vista系统貌似没有这个文件
XP下有如果不正常而且IE加载了的话从SREng日志里也应该能检查出来吧....
看来是不是需要添加个验证shdoclc.dll文件的功能......

sreng检查不出来的！

显示全部楼层 · 发表于 2009-6-16 12:14:28

其实vista比xp安全多了，不仅仅是体现在UAC上
对管理员的约束多了，但基本不会带来管理不便
比如即便是管理员常规模式下也无法删除系统文件，如notepad.exe
真正有完全控制权限的是trustedinstaller
vista系统上很少出现openhomepage键被改

[讨论] 浏览器主页被篡改初步解决方法

评分

评分

回复 4楼 yangdw 的帖子