201402110001IE首頁被綁架?網頁瀏覽被植入惡意廣告 要如何解決?

(20080405原建20140211新增)首頁被綁架一般是指首頁被設定成某一個特定的網址,而且使用者無法變更首頁的網址。在首頁被綁架的同時,使用者可能還會碰到「首頁被更改設定」、「瀏覽器名稱被修改」、「開機被鎖定」…等問題。(要解決此問題,使用者最好有一點登錄檔案的觀念)。

IE首頁發現被綁架時,惡意程式通常不會很單純的只有綁架IE首頁而已!!
所以往往都會發現複合性問題,意指一個以上,甚至很多個惡意問題,
但是本篇教學僅教導 IE首頁綁架的部份而已!
因此,其他的 例如: 防毒工作、惡意程式阻擋工作、Windows 更新工作 也要記得做確實,不然以後依然容易發生此問題唷!

AdwCleaner v3.018 解決瀏覽器首頁被綁架、刪不掉的工具列、惡意廣告.. 等問題

 

如果你每次上網時,瀏覽器都會自動開啟一些廣告網頁或奇怪的首頁、搜尋頁面,而不是你自己設定的首頁,而且每次修改後,還是會自動恢復成廣告網頁,那你電腦的瀏覽器應該已經是被綁架了。

類似這種網頁綁架、廣告軟體、瀏覽器 Toolbar 工具列或各種首頁綁架、強制修改搜尋引擎..等侵擾,該如何解決呢?其實大部分比較簡單的解決方式大概就是先去控制台移除你用不到的軟體,或仔細檢查瀏覽 器是否被安裝了什麼外掛或擴充套件,如果這樣還都無法解決的話,可以試試看下面這個 AdwCleaner 小工具。

AdwCleaner 可支援 IE、Firefox、Google Chrome、Opera…等各種常見瀏覽器,主要功能有四個:

 

  • 一、清除莫名其妙跳出來的廣告與其他 Adware 廣告軟體
  • 二、清除各種不需要的、不知何時被安裝的奇怪軟體
  • 三、清除附掛在瀏覽器的各式 Toolbar 工具列
  • 四、解除瀏覽器首頁、搜尋引擎被綁架等 Hijacker 類侵擾

 

要注意的是,執行 AdwCleaner 前必須先將其他軟體、視窗全部關閉,掃描、刪除完後電腦會自動重開機,接著請再試試看是否還會跳出廣告網頁,或自行將瀏覽器首頁改回你要的網頁試試看。

 

▇ 軟體小檔案 ▇

  • 軟體名稱:AdwCleaner
  • 軟體版本: 3.018
  • 軟體語言:英文
  • 軟體性質:免費軟體
  • 檔案大小:634KB
  • 系統支援:Windows XP/Vista/Win7/Windows 8
  • 官方網站:http://general-changelog-team.fr/
  • 軟體下載:按這裡

使用方法:

 

第1步  將 AdwCleaner 軟體下載回來、按兩下執行後,先按一下「Search」按鈕,搜尋看看電腦中有沒有什麼可疑的檔案。

第2步  搜尋完成後,會自動開啟一個純文字檔,裡面會記錄搜尋到哪些可能有問題的軟體、服務、登錄檔記錄與瀏覽器外掛…等細節。

第3步  接著請按「Delete」按鈕讓 AdwCleaner 程式自動幫我們移除可疑程式與廣告軟體。

注意!在執行「Delete」功能前,請務必先關閉所有瀏覽器視窗與其他執行中的軟體與程式,執行完後 AdwCleaner 會讓電腦自動重開機,重開機後會再顯示已經清除哪些可疑程式、解決了哪些問題。

記得,在使用 AdwCleaner 掃描、清除過後,你可能需要手動再設定一次瀏覽器的首頁,將他設定成你要的網址。如果手動設定完、重新開啟瀏覽器後新的設定沒再被覆蓋掉,那表示這問題已經解決囉!如果還是不行的話,那就得再找其他解決方法囉。

引用  http://briian.com/12038/adwcleaner.html?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+briian+%28briian.com%29

 

為什麼IE主頁會被強行修改?

IE主頁是瀏覽互聯網的視窗,並不是所有用戶都會自己設定主頁,hao123的成功證明導航類網站存在巨大商機,在這個導航頁裡,每個鏈接和搜索視窗都可以成 為商品,只要這個主頁實現足夠高的訪問量。這些訪問量,會給主頁的作者帶來收益。只是hao123已不可複製,越來越多的人企圖透過惡意軟體讓自己成為 hao123。

絕大多數盜版系統會修改IE主頁為自己的導航網站,比如深度、雨林木風,雨林木風版 預設主頁為www.114la.com,日獨立訪問量高達500萬-600萬;深度版本版預設主頁則為www.1616.net,日獨立訪問的用戶數量也達數百萬之多。

另外,還有很多共享軟體,因為在中國發行共享軟體幾乎是無利可圖的,註冊費的收入相當有限,軟體開發者只能從第三方獲利。而這種作法又會被稱為流氓,採用這種辦法獲得的共享軟體,也會自然而然的被戴上流氓軟體的帽子。

綁架IE都用的什麼招

1.常規方法──IE瀏覽器提供給大家DIY主頁的方法
打開IE經常要訪問的網站,可以直接在IE的選項中添加主頁。

(1)手工設定的方法
方法一︰右鍵桌面 Internet Explorer圖示--屬性--主頁
方法二︰打開IE瀏覽器--工具--Internet選項--主頁

(2)惡意程式修改主頁的方法
惡意程式一般是透過修改註冊表中關於IE主頁設定項目來將主頁修改為自己的網站
對應的註冊表項目(可以透過註冊表編輯器修改︰ 開始--營運--輸入regedit.exe 返回依次打開)

主鍵︰
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main

鍵名︰Start Page" REG_SZ

2.IE瀏覽器快捷模式被惡意修改
(1)桌面和快速啟動欄IE瀏覽器快捷模式修改

步驟一︰

隱藏桌面預設存在的IE快捷模式,或者直接刪除
惡意軟體通常透過修改註冊表的方法來隱藏或者刪除IE快捷模式

主鍵︰

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\

子鍵NewStartPanel

鍵值︰

{871C5380-42A0-1069-A2EA-08002B30309D} 設定為 0 或者直接刪除

步驟二︰

新建一個IE快捷模式,再修改目標屬性,在正常的IE快捷模式後面添加惡意網站

3.深度挖掘的技巧---IE關聯項目被修改

常規修改很容易被一些軟體修復,惡意軟體作者又挖掘出另一個修改註冊表鎖定IE主頁的方法

主鍵︰HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

子鍵︰shell\OpenHomePage\Command

鍵值︰"%Programfiles%\Internet Explorer\iexplore.exe"
iexplore.exe 後面添加惡意網址

AdwCleaner 解決瀏覽器首頁被綁架、刪不掉工具列、惡意廣告.. 等問題

如果你每次上網時瀏覽器都會自動開啟一些廣告網頁或奇怪的首頁、搜尋頁面,而不是你自己設定的首頁,而且每次修改後都還是會自動恢復成廣告網頁,那你電腦的瀏覽器應該已經是被綁架了。

類似這種網頁綁架、廣告軟體、瀏覽器 Toolbar 工具列或各種首頁綁架、強制修改搜尋引擎..等侵擾,該如何解決呢?其實大部分比較簡單的解決方式大概就是先去控制台移除你用不到的軟體,或仔細檢查瀏覽器是否被安裝了什麼外掛或擴充套件,如果這樣還都無法解決的話,可以試試看下面這個 AdwCleaner 小工具。

AdwCleaner 可支援 IE、Firefox、Google Chrome、Opera…等各種常見瀏覽器,主要功能有四個:

一、清除莫名其妙跳出來的廣告與其他 Adware 廣告軟體

二、清除各種不需要的、不知何時被安裝的奇怪軟體

三、清除附掛在瀏覽器的各式 Toolbar 工具列

四、解除瀏覽器首頁、搜尋引擎被綁架等 Hijacker 類侵擾

要注意的是,執行 AdwCleaner 前必須先將其他軟體、視窗全部關閉,掃描、刪除完後電腦會自動重開機,接著請再試試看是否還會跳出廣告網頁,或自行將瀏覽器首頁改回你要的網頁試試看。

▇ 軟體小檔案 ▇

軟體名稱:AdwCleaner
軟體版本: 2.304
軟體語言:英文
軟體性質:免費軟體
檔案大小:634KB
系統支援:Windows XP/Vista/Win7/Windows 8
官方網站
http://general-changelog-team.fr/
軟體下載:按這裡

使用方法:

第1步  將 AdwCleaner 軟體下載回來、按兩下執行後,先按一下「Search」按鈕,搜尋看看電腦中有沒有什麼可疑的檔案。



第2步  搜尋完成後,會自動開啟一個純文字檔,裡面會記錄搜尋到哪些可能有問題的軟體、服務、登錄檔記錄與瀏覽器外掛…等細節。



第3步  接著請按「Delete」按鈕讓 AdwCleaner 程式自動幫我們移除可疑程式與廣告軟體。

注意!在執行「Delete」功能前,請務必先關閉所有瀏覽器視窗與其他執行中的軟體與程式,執行完後 AdwCleaner 會讓電腦自動重開機,重開機後會再顯示已經清除哪些可疑程式、解決了哪些問題。



記得,在使用 AdwCleaner 掃描、清除過後,你可能需要手動再設定一次瀏覽器的首頁,將他設定成你要的網址。如果手動設定完、重新開啟瀏覽器後新的設定沒再被覆蓋掉,那表示這問題已經解決囉!如果還是不行的話,那就得再找其他解決方法囉。

引用  http://briian.com/?p=12038&utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+briian+%28briian.com%29&utm_content=Yahoo!+Mail

IE主頁被修改的案例

IE主頁被修改鎖定通常基於前面介紹的哪幾種模式,現下我們來看看惡意軟體作者怎么傳播惡意軟體,怎么綁架IE主頁。

1 透過軟體捆綁的模式,通常為遊戲,破解補丁,外掛等

某網友在下載魔獸爭霸的時候發現IE主頁被修改為www.2345.com 怎么修改也沒有效果,最好發現原來這個重達793MB的魔獸本身就是個禍害。

從多特下載頁面發現以下描述
“提醒:此軟體安裝要首頁是www.2345.com才可以安裝,請不願意支援多特用戶不要下載”

其他參考︰http://bbs.duba.net/viewthread.php?tid=21987384

2 使用rootkit驅動技術保護註冊表鍵值,普通方法根本無法修改

就像殺毒軟體保護自己不被病毒破壞一樣,病毒作者也透過rootkit在電腦和用戶之間構築了一道堅固的牆壁阻止用戶修改IE主頁設定。最近流行的修改主頁 為9348.cn,kuku530.com的就是這種情況。金山急救箱目前可以透過二次清除的模式來清除這個惡意軟體。

可參考   http://tw.myblog.yahoo.com/hungyangchiu/article?mid=1469&prev=487&next=1466

IE 首頁被 www.1818.com/5n 綁架

狀況:

客戶的電腦中毒
解完毒後,IE 首頁不管再怎麼改,都還是變成 WWW.1818.COM

原因:
病毒把註冊檔 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 這個分錄的權限改為只能讀,不能寫

因為使用者的權限不夠,不能寫,所以再怎麼改首頁,開 IE 時,還是會用 WWW.1818.COM 來開. 因為根本就沒有改掉

解決:
將 MAIN 的權限,加入 "完全控制" (打勾) ,即有寫入權限可更改首頁了

IE主頁被修改後的解決辦法

步驟一︰

使用金山系統急救箱掃描清除綁架IE主頁的惡意軟體

在嘗試手動編輯修改IE主頁之前,應首先檢查系統是否存在惡意軟體,如果不把綁架IE主頁的惡意軟體清除,其它所有修復操作都將無效。

步驟二︰

如果急救箱修復後,檢查IE快捷模式,發現被修改,可直接刪除桌面的IE快捷模式,再重建一個
操作方法︰

雙擊我的電腦,瀏覽到c:\Program Files\Internet Explorer\IEXPLORE.EXE,右鍵點擊IEXPLORE.EXE發送到桌面快捷模式。

或者編輯註冊表,修復桌面顯示IE快捷模式(不推薦,畢竟編輯註冊表是有風險,新建一個新的快捷模式更容易並且更安全)

檢查主鍵︰HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\

子鍵NewStartPanel

檢查子鍵{871C5380-42A0-1069-A2EA-08002B30309D} 的值,

將0 修改為1,如果沒有該鍵值,可新建一個。

步驟三︰

因金山系統急救箱的修復模塊僅支援windows XP作業系統,如果您使用其它windows作業系統,請檢查並修改以下註冊表鍵。

點擊開始,營運中輸入regedit,啟動註冊表編輯器

檢查主鍵︰

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main

鍵名︰"Start Page" REG_SZ
將Start Page的值修改為空白,或者自定義網址

檢查主鍵︰

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

子鍵︰shell\OpenHomePage\Command

鍵值︰"%Programfiles%\Internet Explorer\iexplore.exe"

檢查iexplore.exe 後面有沒有添加惡意網址,如果有就刪除添加的這個惡意網址。

步驟四︰

可使用 regedit.exe ,進入後,按"編輯","尋找",輸入綁架網頁的名稱,例:www.wt166.com.cn,然後將這行的機碼值刪除即可

步驟五:有時可把桌面上多出的 IE 捷徑刪除掉

步驟六:

有時桌面上會有多出的IE圖示,怎樣都刪除不掉,則可先用滑鼠右鍵按這個 IE圖示,接著找出裏面的某些字 (例如:扽俶),然後再到 regedit.exe 去搜尋這幾個字,則會找到下列機碼有 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE}]
@="Internet Explorer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE}\DefaultIcon]
@="C:\\WINNT\\newicon.ico"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE}\Shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE}\Shell\Open(&O)]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE}\Shell\Open(&O)\Command]
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE http://www.wz1122.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE}\Shell\扽俶(&D)]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE}\Shell\扽俶(&D)\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE}\ShellFolder]
"Attributes"=dword:0000000a 

此時只要把

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{71F07D79-F78A-48F4-9A6A-BABD68BDFCBE  機碼刪除.  重開機後(或登出再登入),這些病毒圖示就會不見了

步驟七:

目前發現在註冊檔

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\Desktop\Namespace 裏會有這些桌面上多出的IE捷徑分錄

將這些多出的機碼值刪除,再登出,即可恢復正常

注意:下列Namespace 的 4個機碼值,基本上是不可刪

{1f4de370-d627-11d1-ba4f-00a0c91eedba}   <==Computer Search Results Folder

{450D8FBA-AD25-11D0-98A8-0800361B1103} <==Removal Message

{645FF040-5081-101B-9F08-00AA002F954E}<==Recycle Bin

{e17d4fc0-5564-11d1-83f2-00a0c90dc849}<==Search Results Folder

且其中

{1f4de370-d627-11d1-ba4f-00a0c91eedba}

{e17d4fc0-5564-11d1-83f2-00a0c90dc849}

目前病毒,特別喜歡用這2個

所以如果病毒是寫在這2個機碼值裏,則必需在刪除後,再把正常的值寫入,否則電腦會有些功能異常

及注意在以下的3個機碼值

HKEY_CLASSES_ROOT\CLSID\{1f4de370-d627-11d1-ba4f-00a0c91eedba}

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}

HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}

解決桌面上 IE 捷徑不能刪除

狀況:

桌面上出現個 IE 捷徑,如果用右鍵點它,右鍵功能表只出現 "建立捷徑" ,並沒有辦法刪除這個 IE 捷徑

以這個例子來說,按右鍵時,除了"建立捷徑"時,上面其實還有2個選項,只不過是亂碼

其中有一個的名稱為 "扽俶" 

(注音為 ㄉㄨㄣ 四聲, ㄔㄨ 四聲)

可用 Regedit.exe 來解決

步驟:

1."開始","執行",輸入 REGEDIT.EXE 後,按 "確定"

2.按"編輯","尋找",然後在 尋找目標,輸入 扽俶 ,按 "找下一個"

此時會在 HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849 下,找到

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
@="Internet Explorer"

"LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\
  6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
  00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
  2c,00,2d,00,33,00,30,00,35,00,32,00,30,00,00,00

"IntroText"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
  6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
  00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
  2d,00,33,00,31,00,37,00,35,00,34,00,00,00

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\DefaultIcon]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,\
  45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell]
@="湖羲翋珜(&H)"

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\扽俶(&R)]

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\扽俶(&R)\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\湖羲翋珜(&H)]
@=""

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\湖羲翋珜(&H)\Command]

@="C:\\Program Files\\Internet Explorer\\MUI\\iexplore.exe %1 http://Www.4MV53.com/"

[HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder]
"Attributes"=dword:00000000
@="HideOnDesktopPerUser"

3.接著繼續找,會在下列找到

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]

@="Internet Explorer"

"LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\
  6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
  00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
  2c,00,2d,00,33,00,30,00,35,00,32,00,30,00,00,00

"IntroText"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
  6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
  00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
  2d,00,33,00,31,00,37,00,35,00,34,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\DefaultIcon]

@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\InProcServer32]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,48,00,\
  45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00

"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell]
@="湖羲翋珜(&H)"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\扽俶(&R)]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\扽俶(&R)\Command]
@="Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\湖羲翋珜(&H)]
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\湖羲翋珜(&H)\Command]
@="C:\\Program Files\\Internet Explorer\\MUI\\iexplore.exe %1 http://Www.4MV53.com/"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder]
"Attributes"=dword:00000000
@="HideOnDesktopPerUser"

4.此時再用 e17d4fc0-5564-11d1-83f2-00a0c90dc849 來尋找,會在下列2個機碼找到

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\DUIBags\ShellFolders\{E17D4FC0-5564-11D1-83F2-00A0C90DC849

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849

解決方法:

1.刪除  HKEY_CLASSES_ROOT\CLSID 下的 {e17d4fc0-5564-11d1-83f2-00a0c90dc849} 機碼

2.刪除 HKEY_LOCAL_MACHINE\SOFTWARE\CLSID 下的 {e17d4fc0-5564-11d1-83f2-00a0c90dc849} 機碼

3.刪除 HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\DUIBags\ShellFolders下的  {e17d4fc0-5564-11d1-83f2-00a0c90dc849} 機碼

4.刪除 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace 下的  {e17d4fc0-5564-11d1-83f2-00a0c90dc849} 機碼

再重新開機即可

特別注意:

e17d4fc0-5564-11d1-83f2-00a0c90dc849 這個機碼,原本是用來做 "搜尋" 功能用,但病毒改寫了這個機碼值,所以如果把這個機碼刪除後,會變成在找檔案用"搜尋"功能時,可能會找不到檔案,會發生錯誤

如何恢復 IE 瀏覽器首頁,拒絕 IE 首頁被綁架!

最近兩天不知道裝了什麼垃圾軟體,偷偷改掉了系統的登錄碼,以致於每次開啟 IE 瀏覽器時,都會出現類似「www.2345.com」這種奇怪的網站,如果你也有遇過類似狀況,從 IE 的設定選單都無法移除、解決首頁綁架的問題的話,可以試試看下面這方法。

以下方法是藉由修改 Windows 系統登錄擋的方式來解決的,這只能解決一部分首頁被綁架的問題,因為有些情況可能是透過其他間諜軟體、惡意程式…等方式去弄的,如果無法讓他停止常駐於系統中,則不管怎麼改都無法恢復正常。

所以下面介紹了修改登錄檔的方法後,可以再用最簡單的方式檢查一下電腦開機時是否有哪些程式會自動啟動、執行,將不需要的東西移除,避免其他有問題的軟體一直干擾我們。

如下圖,這就是被綁架時的狀況,每次開啟 IE 時,都會自動出現類似這樣的網站。

需要檢查、修改的登錄檔項目:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
  • HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

一、修改登錄擋,恢復 IE 的 StartPage

第1步  首先我們必須先修改 Windows 系統登錄檔,先按住鍵盤上的「視窗」鍵不放再點「R」,開啟「執行」視窗後請輸入「regedit」再按「確定」按鈕,即可開啟登錄檔編輯器。

第2步  開啟登錄檔編輯程式的視窗之後,請從左邊的選單依序找到下面兩個登錄檔項目,在「StartPage」上按兩下並刪除方框中的數值,或者直接把「StartPage」這個項目刪除。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
  • HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

完成後,IE 的首頁應該就不會再被其他怪怪的網頁佔據了。不過如果你修改完、重開機之後問題還在,可以再依照下面的方式處理。

二、移除開機時自動執行的惡意程式

第1步  如果你修改完登錄檔,重開機後發現 IE 還是被綁架,那很有可能是被其他惡意程式鎖定了,以下可以用最簡單的方式,檢查一下電腦開機時是否會自動執行什麼奇怪的軟體或服務,並將它移除。

首先,先按住鍵盤上的「視窗」鍵不放再點「R」,開啟「執行」視窗後請輸入「msconfig」再按「確定」按鈕。


第2步  開啟系統設定視窗後,請先在「啟動」分頁中找找看有沒什麼不是你要的、不認識的軟體或程式,如果你不希望哪個程式在開機時自動啟動的話,可以取消左邊的勾勾。

仔細檢查一下,如果不確定哪個名稱的軟體是做啥用的,可以用 Google 找一下相關資料再做判斷。

第3步  另外在「服務」分頁裡面也是一樣,先勾下面的「隱藏所有 Microsoft 服務」,然後再一一檢查哪些項目是你不需要的,取消勾選再按「確定」按鈕後,以後電腦開機時便不會再自動啟動。

如果依照以上方法還無法解決 IE 首頁被綁架的問題,那就是比較難處理的案例了,可以再找其他軟體來做,如 Trojan RemoveDisable StartupGlary Utilities…等工具

解決IE被綁架問題、防止電腦被間諜軟體洩密

當你在打線上遊戲的時候,或者 掛網找資料的時候,是不是常常會遇到一些奇怪的檔案?有時不小心執行了之後,便會發現電腦怪怪的,甚至還會讓IE瀏覽器一開啟時自動跳出一推奇怪的廣告視 窗,關都關不完,並且還會把原來的IE首頁改成奇怪的外國網頁?

沒錯,如果你遇到以上的狀況,你的IE瀏覽器肯定是被綁架了!甚至還有可能中了一些可怕的 木馬程式、間諜軟體,甚至是危害你帳號、密碼的側錄軟體,自動將你的信用卡、銀行帳號密碼、線上遊戲的帳號資料,全部洩漏出去!

以下,我們以XoftSpy反間諜軟體為範例,只要執行一些很簡單的操作與設定,即可透過XoftSpy反間諜軟體龐大的反間諜、反綁架的偵測資料庫,抓出電腦中可能被感染的檔案,並且掃描系統登錄檔,將潛藏危機的設定值給排除,讓你的電腦可以恢復正常運作。

解決方法:

第1步 首先,到「這裡」 下載「XoftSpy SE 間諜剋星中文版」試用版軟體後,直接依照一般安裝程序,將軟體安裝到你的電腦中。接著,依序按下〔開始〕→【所有程式】→【XoftSpySE】→ 【XoftSpySE】,開啟軟體主畫面。開啟之後,先點選左邊的【一般設定】,勾選「自動檢查更新檔」,並按下〔檢查更新檔〕,幫 「XoftSpySE」更新防間諜資料庫。

第2步 接著切換到【掃描設定】,並勾選你要防堵的問題,一般都是全部勾選。

第3步 勾選好之後,直接按下〔開始掃描〕按鈕,「XoftSpy SE 間諜剋星」軟體便會開始掃描電腦中的檔案與系統登錄檔中的有害資訊。【掃描結果】選單中會顯示目前的掃描結果,如果有抓出間諜軟體的話,也可以直接刪除。(正式版支援)

第4步 如圖,如果你希望「XoftSpy SE 間諜剋星」可以自動幫你在指定時間掃描電腦的話,也可以直接按下【排程】,勾選自動掃描的時間。這軟體跟一般防毒軟體的即時監控不同,並不會與其他已安裝的防毒軟體相衝突,還可彌補一般只防病毒的防毒軟體的不足。

第5步 如果你不希望你的IE瀏覽器一直被奇怪的網站修改首頁設定值,若想要恢復成自訂的網頁的話,可以在畫面中直接輸入你指定的網址,然後再按下〔儲存〕,即可鎖定網站首頁網址,避免被改來改去,讓我們上網更安心。

IE 首頁被綁架_簡單 8 步驟解除

網頁被綁架無法正常開啟 internet 的解決方法

請您依照以下的步驟做處理 :

01. 假設已經產生 IE首頁被綁架,應該不止僅有 IE首頁發生問題,   

通常都是複合性問題囉!! 所以....

A. 請使用掃毒軟體先行過濾 自己的電腦主機,
B. 請使用惡意程式掃瞄工具 再過濾一下
例如 : 安全衛士360 等工具
C. 在使用 Windows Update 線上更新一下,看看是否有安全更新沒有做的

02. [開始] [執行] 輸入 regedit,此時 會跳出一個視窗來,
然後請使用這個視窗尋找下面這些關鍵字

03. 請尋找

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain,
然後會在右邊會有一個數值為" Start Page " --->這是在修改你的 " 首頁 ",   

也就是每次開啟 IE 瀏覽器所出現的第一個網頁--->你只要在這個" Start Page "
的數值上按滑鼠左鍵兩下然後輸入你想要的網站!!!
假設您想要設定 Yahoo台灣奇摩為首頁 這邊就設定為 http://tw.yahoo.com/

04. 請尋找

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain,

然後右邊會有一個數值為" Window Title " --->這是在修改你的 " 瀏覽器的名稱 ",
也就是在 IE 瀏覽器上面右邊的字,原本的名稱是 " Microsoft Internet Explorer "   

---> 你只要在這個 " Window Title " 的字串值上按滑鼠左鍵兩下

然後輸入你想要的名稱!!! 或者把此數值刪除他就會用原來的名子了!!!
(這是IE 5.0 以後 版本適用,不過 現在也應該沒人用 IE5.0 的古董了吧!)

05. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp,
然後右邊會有一個數值為" NoRealMode " --->你只要把此數值刪除就可以了!!!

06. 請尋找

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
然後右邊會有一個數值為" internat.exe " --->

你只要在這個把此數值的 " 資料 " 刪除就可以了!!!

07. 請搜尋

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWinlogon

然後右邊會有一個數值為" LegalNoticeCaption " --->這是讓你再開機時,
出現要求 " 確定 " 的設定!!!------>你只要把此數值刪除就可以了!!!

08. HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionWinlogon

然後右邊會有一個數值為" LegalNoticeText " --->這也是讓你再開機時,
出現要求 " 確定 " 的設定!!!------>你只要把此數值刪除就可以了!!!

要知綁架手法日新月異, 過去的解法僅供參考, 不可能涵蓋所有的網頁綁架解法, 大家自己上網要小心

防止網頁綁架的兩個要點:

1.任何popup出來的對話盒,一定要看清楚,確定沒有問題後,才可以按"確定".否則一律按"否"按鈕.

2.隨時更新最新的IE修正程式.

p.s小心! 有的跳出視窗滿狡猾的, 一般 都是 yes 當確定, no 當 否定. 但是有的
故意把問題問相反. 所以按 '否' 其實是 一般 回答裡的 'yes'. 來導致 user
誤判. 所以 還是用mozilla 把跳出視窗正個擋掉比較保險!

IE被綁架的修復方法

IE瀏覽器首頁被更改設定、首頁無法更改、瀏覽器名稱被修改,瀏覽器被自動執行、登錄編輯器被停用的修復方法。 關閉所有 IE 視窗,若有視窗無法關閉,先斷線或拔掉網路線。

  • 「登錄編輯器」被停用的修復方法

無法執行「regedit」是因為登錄檔裡機碼 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] 裡 "DisableRegistryTools" 數值被設定了,只要刪除或設成 0 就可以。請下載 Unlock.reg 後執行即可解除。

  • 「執行」被停用的修復方法

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]刪除"NoRun"數值。請下載 Unlock_run.reg 後執行即可解除。

按「開始」>>到「執行」,輸入 regedit 按「確定」,到:

  • [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

在 "Start Page" 上按右鍵,選修改,原內容刪除,改輸入 about:blank 或自設之首頁,按確定。

  • [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

刪除整個 "Windows Title" 數值或修改成自訂之"瀏覽器名稱"字串。

  • [HKEY_LOCAL_MACHINESoftwareMicrosoftInternetExplorerMain]

刪除整個 "Windows Title" 數值或修改成自訂之"瀏覽器名稱"字串。

  • [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp]

檢查右邊是否有一個數值為"NoRealMode",若有,則刪除,或把 WinOldApp 整個刪掉。

  • [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

刪除 START PAGE,同時檢查是否其他也有可疑網廣告址的項目,在(預設)上按滑鼠右鍵選刪除。("預設" 這裡的值應該出現的是"值尚未設定")

  • [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionWinlogon]

刪除整個 Winlogon 機碼

  • [HKEY_USERS.DEFAULTSoftwareMicrosoftInternet ExplorerMain]

在 Start Page 上按右鍵,選修改,刪除原網址,改輸入about:blank,按確定。(或是刪除後不輸入內容也行)

  • [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]

"START PAGE"整個刪除(或其他有可疑網廣告址的項目)。接著,在"(預設)"上按滑鼠右鍵選刪除。("預設" 這裡的值應該出現的是"值尚未設定")

  • [HKEY_CURRENT_USERSoftwarePoliciesMicrosoft]

刪除 "Internet Explorer" 機碼,在 "Internet Explorer" 這個機碼上按滑鼠右鍵選刪除,以解決 Internet 選項變灰色,無法按鈕更改首頁的問題。

  • [HKEY_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRun]

刪除"Internat.exe"數值。

首頁被綁架一般是指首頁被設定成某一個特定的網址,而且使用者無法變更首頁的網址。在首頁被綁架的同時,使用者可能還會碰到「首頁被更改設定」、「瀏覽器 名稱被修改」、「開機被鎖定」…等問題。(要解決此問題,使用者最好有一點登錄檔案的觀念)。

按「開始/執行」,然後在「開啟」的空格內輸入"regedit",按下「確定」鈕,啟動登錄編輯器。

(方法一)

1.解決「登錄編輯器 」被停用的問題 :

請先下載「恢復登錄編輯器」的登錄檔:UNLOCK.reg
→適用於Microsoft(微軟)的所有 Windows 作業系統 !  
(登錄編輯器被停用的人先下載登陸檔執行,來恢復登錄編輯器)

P.S 若您的作業系統是 Windows 98(含SE版本) / ME,則直接執行登錄檔即可恢復!

注意事項:

作業系統為 Windows XP 專業版,請依照下面的步驟操作即可!
「開始」
「執行」→鍵入gpedit.msc
接著會出現群組原則的視窗畫面!
請點選左邊窗格
使用者設定系統管理範本系統禁止存取登錄編輯工具
*請設為尚未設定已停用即可!

作業系統為 Windows NT/2000/XP 家庭版/Server2003...等,而無法 執行此登錄檔
(也就是執行登錄檔時,會出現"
登錄編輯器已被系統管理員停用"
    或是顯示"
您的系統管理員已停用登錄編輯。"!)

請去
http://www.lavasoft.de/ 下載 RegHence 來安裝使用!
接著把剛剛所下載的
UNLOCK.reg 給 Import 進來就可以了.
P.S UNLOCK.reg 檔案建議儲存在 C:\ ,
避免待會 Import 的時候找不到或有其他問題產生!


Import 方法:
開始程式集Lavasoft RegHanceRegHance x.x (x.x 代表不確定版本
開啟程式後,選擇功能表列的
RegistryImport Registryfile..
再選擇剛剛儲存的
UNLOCK.reg 檔!

無法 Import 的解決方法:
直接開啟剛剛安裝的 RegHance 軟體,分別到以下兩個登錄位置:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\System

  HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\System


找到右邊的
DisableRegistryTools 登錄值,並將資 料改為 0
或直接刪除
DisableRegistryTools 登錄值即可!

2.解決「開始 」→「執行」被移除的問題:

請先下載「恢復執行」的登錄檔:UNRUN.reg
→適用於Microsoft(微軟)的所有 Windows 作業系統 !  
(「開始」→「執行」被移除的,先下載登陸檔來執行,來恢復「執行」選項)

PS. 執行後,必須重新開機!
如果重新開機還是沒有執行選項
,請手動操作以下步驟來恢復

請去 http://www.lavasoft.de/ 下載 RegHence 來安裝使用!

直接開啟剛剛安裝的 RegHance 軟體,分別到以下兩個登錄位置:
HKEY_USERS.DEFAULTSoftwareMicrosoft
Windows
CurrentVersionPoliciesExplorer

   HKEY_CURRENT_USERSoftwareMicrosoft
Windows
CurrentVersionPoliciesExplorer

找到:「NoRun」登錄值 ,然後將它刪除!

再到登陸位置:
HKEY_CURRENT_USERSoftwareMicrosoft
Windows
CurrentVersionExplorer\Advanced

找到:「StartMenuRun」登錄值,然後將它 的設定值修改為 1

3.解決「首頁被更改設定」的問題:

首先要執行「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.分別進入登陸位置:
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Main

  HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\Main


然後右邊會有一個數值為「Start Page」→這是在修改你的「首頁」
也就是每次開啟IE瀏覽器所出現的第一個網頁!
你只要在這個「Start Page」的數值上,按滑鼠左鍵兩下
接著輸入你想要的網站之網址!
例如:Yahoo!奇摩的網址
http://tw.yahoo.com/

03.在登錄編輯器上的左邊視窗選擇「我的電腦」,
接著再按鍵盤上「Ctrl」+「F」
或是功能表列的「編輯」→「尋找

04.在「尋找目標」的空格輸入「綁架你的網址
並在「查看」勾選「資料」再按「找下一個」的按鈕來開始尋找!
找到之後,就刪除登錄值!
接著再按鍵盤上F3來繼續尋找!
直到找不到任何登錄值為止!!

4.解決瀏覽器名稱被修改的問題:

首先要執行 「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.分別進入登陸位置:
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Main

和   HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Internet Explorer\Main


然後右邊會有一個數值為「Window Title」→這是在修改你的瀏覽器的名稱!
也就是在IE瀏覽器標題列最右邊的文字
原本的名稱是「Microsoft Internet Explorer」
你只要在這個「Window Title」的字串值上,按滑鼠左鍵兩下
接著輸入你想要的名稱!
或者把此數值刪除,IE就會用預設的名稱!

5.解決開機被鎖定的問題:

以下方法只適用於
http://up2001.6to23.com 綁架的手法!!!


首先要執行「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.進入登陸位置:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\WinOldApp

然後右邊會有一個數值為NoRealMode」→請把此數值刪除!

03.進入登陸位置:
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run

然後右邊會有一個數值為internat.exe」→請把此數值刪除!

04.進入登陸位置:
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Winlogon

然後右邊會有一個數值「LegalNoticeCaption」和 數值「LegalNoticeText
這都是讓你在開機時,出現叫你「確定」的視窗!
→請把這兩個數值刪除即可!!

6.解決「首頁無法更改」的問題:

* 也就是IE功能表列的「工具」→「網際網路選項」→
   「一般」→「首頁」部分的網址呈現灰色,另外下面的3個按鈕也無效!

P.S 若您是在沒有開啟網頁的的狀態下,進入「網路網路選項」
      則「使用目前的設定」之按鈕會呈現無法點選的情況,這是正常的!

首先要執行「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.進入登陸位置:

HKEY_CURRENT_USER\Software\Policies\Microsoft

刪除Internet Explorer機碼(看似資料夾的圖示)即可!

P.S 此方法也適用於「內容警告器」、「安全性」、「不容許存取資源」的問題 !

7.解決開機時「瀏覽器被自動開啟並到不知名的網站」的問題:

首先 要執行「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.分別進入登陸位置:
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run

和   HKEY_CURRENT_USER\Software\
Microsoft\Windows\CurrentVersion\Run

如果有看到數值為「 iexplore」、「IEXPOLRE.EXE」「internat.exe」的登錄值
請直接刪除登錄值即可!

P.S 下面是網友提供的一些方法!

有看到數值internet 也會發生

解法1:直接殺掉數值「c:windowssysteminternet.url

解法2:修改「c:windowssysteminternet.url」內容

「c:windowssysteminternet.url」是我的數值,其他人可能不同

Cooper 2003/03/03

8.解決「重開機之後還是被綁 」的問題:

已經照了各種步驟修改,重開機之後又恢復了!?
這是目前最常見的綁架手法!!  也是最難移除的綁架問題!
問題原因在於有「綁架首頁的登錄檔」或「惡意程式」
會在您每次開機的時候,自動載入您的系統對您再次的綁架!
因此務必要刪除這個惡意登陸檔或程式才行!!

此方法也可以適用於有時會自 動開啟廣告視窗的問題!

首先要執行「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.分別進入登陸位置:
HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run
和    HKEY_CURRENT_USER\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run

看看那裡有沒有那個網站的網址
或是奇怪的 .hta.exe.tmp.dll.vbs、.cer 檔的登錄值
有的話把它的整個登陸值(包含數值和資料)給刪除掉!


刪除登陸值之前,請先記錄登錄值上的檔案路徑

然後到剛剛記錄的路徑中找到檔案
把它給刪除掉,避免它再次登錄!

P.S 若不知道該刪哪個值...
比較常見的資料開頭是
regedit -s .......
一般都是那個值再作怪
!!!

特別注意:

這個部分的登陸值請勿隨意刪除,
否則很有可能導致系統出問題!!

9.解決「滑鼠右鍵有奇怪的文字選項」的問題:

此方法僅適用於在瀏覽器的網頁上所按的滑鼠右鍵之選項

首先要執行「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.進入登陸位置:

HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\MenuExt


接著看看下面的機碼有沒有那個奇怪的文字!?
有的話把那個奇怪文字的整個機碼&附加的子機碼都刪除掉!

10.解決「瀏覽器上的奇怪文字選項」的問題:

※此方法也可以適用於瀏覽器上有奇 怪的工具列

首先要執行「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.進入登陸位置:

HKEY_LOCAL_MACHINE\Software\
Microsoft\Internet Explorer\Extensions


再看看下面的機碼...
{XXXXXXXX—XXXX—XXXX—XXXX—XXXXXXXXXXXX}
找找看裡面的登錄值有沒有那個奇怪的文字或是該選項(工具列)的名稱
有的話,直接刪除左方的整個機碼即可!

*請在刪除機碼前,請先記住機碼的完整名稱

03.接著再進入登陸位置:
HKEY_CURRENT_USER\Software\
Microsoft\Internet Explorer\Extensions\CmdMapping

再看看右方的登錄值,找到剛剛記下來的機碼名稱並直接刪除即可!

11.解決「滑鼠右鍵的另存目標變成灰色」的問題:

首先要執行 「登錄編輯器」Regedit.exe

01.按「開始」→「執行」

然後在「開啟」的空格內輸入:
regedit
接著會跑出「登錄編輯器」

02.進入登陸位置:

HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\policies

刪除「
Ratings」機碼即可!

P.S 一般來說,只要是另存目標變成灰色,則列印目標也是一樣!

12.解決廣告視窗自動跳出」的問題:

01.首先,建議您到「控制台」裡的「新增或移除程式」
找找看有沒有被安裝了一些廣告軟體或不知名的程式!
例如:
Date ManagerPrecisionTimeGAINComet Cursor PlusWeatherCast等等!
還有一些煩人的工具列:
DashBar ToolbarDotComToolBarABC SEARCH…等等!
(只要是自己本身沒用到的程式,或者不是您有安裝過的程式都可移除!)

備註:一般來說,Date Manager PrecisionTime 會和 GAIN 是一體的!
但是 GAIN 並不見得會在程式清單上,不過在程式集→啟動的地方會看到  GStartup
因此只要移除 Date Manager PrecisionTime ,重開機後…
應該就不會在啟動上看到 GStartup 的蹤跡了!

GAIN 無法自動移除,就必須手動來移除!
手動移除方法:先刪除啟動的  GStartup
接著再刪除 C:Program FilesCommon Files GMT 資料夾即可!

02.或者到 史萊姆的第一個家軟體下載廣告清除
下載 Ad-aware v6.0 來移除看看!

03.推薦幾套廣告移除軟體:
SpyBot Search & Destroy(繁體中文版)IE DoctorClean Space
 
另外如果有 3721上網助手網路實名…等等的程式, 個人建議也一併移除!!

(方法二)

1. 如果登錄編輯器(RegEdit)被停用(如果登錄編輯器可以用,可跳過此步驟),請執行『記事本』,輸入下面3行,將檔案儲存成副檔名為reg的檔案 (例如Unlock.reg),然後雙按Unlock.reg即可。

REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:00000000

 
2A. 解決「首頁被更改設定」、「瀏覽器名稱被修改」、「開機被鎖定」,方法如下:

2B、找到KEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain機碼,右邊會有一個稱為Start Page的數值,這也就是每次開啟IE瀏覽器所出現的第一個網頁,

在Start Page上按滑鼠左鍵兩下,然後輸入你想要設定的網站,例如:http://www.icst.org.tw/。

2C、在KEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

右邊會有一個數值稱為Window Title,這是瀏覽器的名稱,

例如”Microsoft Internet Explorer”。在Window Title上按滑鼠左鍵兩下,輸入你想要的名稱即可(如果您使用IE 5.0以後的版本,將此數值刪除就會使用原來的名子了)

2D、找到下面機碼:

KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesWinOldApp
右邊會有一個數值稱為NoRealMode,將此數值刪除就即可。

2E、找到下面機碼:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun
右邊會有一個數值稱為internat.exe,請將此數值的資料刪

2F、找到下面機碼:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Winlogon
右邊會有一個數值稱為 LegalNoticeCaption,它會在開機會要按"確定"的設定,請將此數值刪除。

2G、找到下面機碼:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionWinlogon
右邊會有一個數值稱為 LegalNoticeText,它也會在開機會要按"確定"的設定,請將此數值刪除。
03.恭喜你!!! 你已經完全移除那卑鄙網站給你修改的地方!!! 接著只要"重新開機"即可!!!

3. 如果「首頁無法更改」,找到

HKEY_CURRENT_USERSoftwarePoliciesMicrosoft

將Internet Explorer的機碼刪除即可。

4. 如果「瀏覽器被自動開啟並到不知名的網站」,請選擇登錄編輯器的「編輯」下拉選單,選擇「尋找」,輸入該網站的網址去尋找,可以找到一個稱為 internat.exe的機碼有有該網址,在機碼上按滑鼠右鍵選「編輯」,將網址刪除,然後重新開機即可。

 
5. 如果「按下滑鼠右鍵會有奇怪的選項」,請選擇登錄編輯器的「編輯」下拉選單,選擇「尋找」,輸入奇怪的選項的字串尋找,然後將奇選項的字串刪除,重新開機即可。

(狀況一)網友自己做些修正,給遇到相同問題的網友參考

Windows XP IE首頁被鎖住及無法進入登錄編輯器解決方式:
1.進入登錄編輯器.
1-1.先進入控制台使用這帳戶建立一個新帳戶,要有電腦系統管理員的權限,並設定密碼.

1-2.進入c:wimdows底下,滑鼠在regedit點右鍵,選擇執行身分.選擇下列使用者.


1-3.然後在使用者名稱選擇你剛才建立的新帳戶名稱輸入密碼,這樣你就可以進入登錄編輯器修改囉.


2.解除IE首頁被鎖住.

2-1.解除登錄編輯器關閉限制
進入HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies System

將 "DisableRegistryTools"0x00000001(1)數值更改為0x00000000(0).

2-2.修改被綁住的網址及視窗抬頭

HKEY_USERSS-1-5-21-1644491937-1993962763-1060284298-1003SoftwareMicrosoftInternet ExplorerMain
將所有綁住你的網址更改掉.(要先看一下綁住你IE的網址名稱,例如www.17777.com).....其中window title記得更改.

2-3.把無法設定首頁功能修改回來

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
"Home Page"=0x00000001(1)數值更改為0x00000000(0).

可以在修改時,每修改一項後,重開IE測試.

(狀況二)

如果碰到找不到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion PoliciesSystem怎麼辦?

如果不能開啟登錄編輯器,那怎麼修改登錄?

記事本來貼上
代碼:

REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:00000000

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:00000000

然後存成reg檔案類型,即可

如果發生一樣的問題  連記事本這ㄍ方法也不行
就要再創一ㄍ新的使用者   在  C:/windows下的Regedit
案右鍵選擇---執行身分---   選取你剛剛創建的使用者
切記要設密碼   後就可以執行regdit

(狀況三)

如果是被 http://www.internet-optimizer.com/ 網站/搜尋綁架…
請到「控制台」→新增或移除程式」,移除「Internet Optimizer」
移除時會出現「Internet Optimizer Options」視窗
請按下「Uninstall」鈕來移除即可!

如果在控制台裡的新增或移除程式裡見不到它…
請到
C:Program Files 找到 internet-optimizer 資料夾…並刪除!
最後執行
search_uninstall.reg 登錄檔!

如果在 C:Program Files 找不到 internet-optimizer 資料夾~
請執行
search_uninstall.reg 登錄檔試試看!

P.S

如果無法刪除資料夾請到「安全模式」下刪除
另外由於這個搜尋網站手法比較特殊~~以上方法不見得有效,建議重灌系統才是上策!!

(狀況四)

如果是被 http://www.instafinder.com/ 網站綁架
請看參考官方提供的移除方法,即可移除!

Step-By-Step Instructions

Follow these steps exactly to Uninstall InstaFinder.

1)    Close all the Internet Explorer Windows.  

2)    Open Control Panel.

3)    Click on Add/Remove Programs.

4)    Select the "InstaFinder" item and click on Remove button.

5)    Reboot the system.

中文翻譯:
1.關閉所有的瀏覽器視窗
2.開啟「控制台」
3.點選「新增或移除程式」
4.選擇「InstaFinder」項目並按下移除按鈕
5.重新啟動系統

(狀況五)

以下移除檔在執行移除前,請務必關閉所有的網頁視窗
並切斷網路連線再執行移除檔,移除完畢後請務必重開機!

-----------------------

若是被 Netzany 網站綁架
請下載官方提供的移除檔:uninstallf.exe

----------------------------------------------------------

如果是被 http://www.gohip.com/ 網站綁架
請下載 remove.exe 檔案來完整移除!

--------------------------------------------------------

如果是被 http://mysearchnow.com/http://lop.com/ 網站綁架

請下載官方提供的移除檔來移除即可!

--------------------------------------------------------

如果是被 http://www.freescratchandwin.com/ 網站綁架

請下載官方提供的移除檔來移除即可!

--------------------------------------------------------

如果是被 http://www.xzoomy.com/ 網站綁架

請下載官方提供的移除檔來移除即可!

--------------------------------------------------------

如果是被 http://www.wazzupnet.com 網站綁架

請下載官方提供的移除檔來移除即可!

--------------------------------------------------------

如果是被 http://www.xupiter.com/ 網站綁架
請直接下載 uninstall.exe
檔案來完整移除!!!

或者到「我的電腦」→「控制台」→「新增移除程式」中移除!

--------------------------------------------------------

如果是被 http://www.searchex.com/ 網站綁架
請直接下載 uninstall.exe 檔案來完整移除!

--------------------------------------------------------

如果是被 http://www.istarthere.com/ 網站綁架
請連結至官方 提供的移除網頁,即可移除!
http://www.istarthere.com/remove.html

--------------------------------------------------------

如果是被 http://www.i-lookup.com/ 網站綁架
請下載官方提供的移除檔來移除即可!
舊移除檔:uninstall.exe
新移除檔:
uninstall2.exe

--------------------------------------------------------

如果是被 http://www.iwantsearch.com/ 網站綁架
請下載官方提供的移除檔來移除即可!
http://www.iwantsearch.com/uninstall/remove.exe

--------------------------------------------------------

如果是被 http://www.allcybersearch.com/ 網站綁架
請下載官方提供的移除登陸檔來移除即可!
http://www.allcybersearch.com/search_uninstall.reg

(狀況六)

如果是被 http://www.okww.net/ 網站綁架~
請看教學文章 remove-okww.htm 來移除,即可完整移除!

請先刪除
登錄位置:HKEY_LOCAL_MACHINESOFTWARE
MicrosoftWindowsCurrentVersionRun
的登錄值:"Desktop Shell"
 

接著刪除
登錄位置:
HKEY_CLASSES_ROOTtxtfileshellopencommand
資料為
%SYSTEM%SQIHIDE.EXE "%1" 的整個登錄值! 

再到 C:windowssystem 裡面…
找到 Desktop.exesqihide.exe 並刪除他!
 
備註:Desktop.exe sqihide.exe 的路徑…
以上兩個登錄值的資料為準!
基本上是 C:windows
system system32 的資料夾!
  
最後再做重新設定&清除的步驟!! 
 
*** 首先先建議你重新設定你的首頁!!! ***

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.分別進入
HKEY_CURRENT_USERSoftware
MicrosoftInternet ExplorerMain

HKEY_LOCAL_MACHINESOFTWARE
MicrosoftInternet ExplorerMain

然後右邊會有一個數值為 " Start Page
" --->這是在修改你的"首頁"
也就是每次開啟IE瀏覽器所出現的第一個網頁,
你只要在這個"Start Page"的數值上...
按滑鼠左鍵兩下,然後輸入你想要的網站之網址!
例如: 奇摩站的網址為: http://tw.yahoo.com/

 
03.另外再進入HKEY_CURRENT_USERSoftwarePoliciesMicrosoft

如果有 " Internet Explorer " 的資料夾,
那就刪除 " Internet Explorer " 整個資料夾即可!!!


接著開始進行全面清除!
先建議你用那個綁架你的網址到登錄編輯器上搜尋!
有找到的登錄值都刪除!!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.在左邊的視窗選擇"我的電腦",
接著再按鍵盤上的Ctrl+
F...
或是"編輯"->"尋找"...

03.在"尋找目標"的空格輸入"綁架你的網址"!
並在"查看"勾選"資料"...再按"找下一個"的按鈕來開始尋找!!
找到之後,就刪除登錄值!!
接著再按鍵盤上的F3
來繼續尋找!
直到找不到任何登錄值為止!!!

--------------------------------------------------------

如果是被 http://www.cnww.net/ 網站綁架~
請看教學文章 remove-cnww.htm 來移除,即可完整移除!

首先先重新設定你的首頁!!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain
然後右邊會有一個數值為"
Start Page " --->這是在修改你的"首頁"
也就是每次開啟IE瀏覽器所出現的第一個網頁--->你只要在這個"Start Page"的數值上
按滑鼠左鍵兩下然後輸入你想要的網站!!! 例如: 奇摩站的網址為:
http://tw.yahoo.com/

03.另外再進入
HKEY_CURRENT_USERSoftwarePoliciesMicrosoft
如果有 "
Internet Explorer " 的資料夾,那就刪除 " Internet Explorer "整個資料夾即可!!!

*** 設定好後,開啟IE看看是否為你設定的首頁! 如果正確的話!!! ***

那再開始進行全面清除!
先建議你
用這個網址-> "  http://www.cnww.net "
在登錄編輯器上搜尋,找到的通通砍除!!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.在左邊的視窗選擇"
我的電腦",
接著再按鍵盤上
Ctrl+F...
或是"編輯"->"尋找"...

03.在"尋找目標"的空格輸入"綁架你的網址"!
並在"查看"勾選"資料"...再按"找下一個"的按鈕來開始尋找!!
找到之後,就刪除登錄值!!
接著再按鍵盤上
F3來繼續尋找!
直到找不到任何登錄值為止!!!
 

***最後就是重點了!!! 也就是清除開機會在登錄的問題!!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

然後右邊會有個數值

" iexpler " , 資料為 " regedit -s c:windowssystemiexpleror.dll "
請刪除這行的登錄值!!

03.再進入

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

接著將右邊第一行預設值資料給刪除!!
只要用滑鼠左鍵點兩下(預設值)
在將資料給刪除,然後按確定即可!!

04.按"開始"->"搜尋"->然後在 c:windowssystem
去搜尋
iexpleror.dll ...找到後直接刪除!!!

或是直接到c:windowssystem找到
iexpleror.dll 檔案 ,來直接刪除它!
(但必須關閉視窗中的

"工具"->"資料夾選項"->"檢視"中的隱藏系統檔..才可以看 到檔案)

P.S 此檔案一定要刪除,以防止再次登錄綁架!!!

***大致上這樣已經OK了! 移除完後,重開機即可成功解除了!!!

不過還要在麻煩你看看你的新增移除程式有沒有被安裝了網路實名!
(我的電腦->控制台->
新增移除程式) 有的話,直接點選移除!!

--------------------------------------------------------

如果是被 http://888y.com/ 網站綁架~
請看教學文章 remove-888y.htm 來移除,即可完整移除!

首先先重新設定你的首頁!!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain
然後右邊會有一個數值為"
Start Page " --->這是在修改你的"首頁"
也就是每次開啟IE瀏覽器所出現的第一個網頁--->

你只要在這個"Start Page"的數值上
按滑鼠左鍵兩下然後輸入你想要的網站!!! 例如: 奇摩站的網址為:
http://tw.yahoo.com/

03.另外再進入

HKEY_CURRENT_USERSoftwarePoliciesMicrosoft
如果有 "
Internet Explorer " 的資料夾,那就刪除 " Internet Explorer "

整個資料夾即可!!!

***接著再用這個網址-> "  http://888y.com "

在登錄編輯器上搜尋,找到的通通砍除!!! 

***然後是清除開機會再執行IE的問題!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
如果有看到數值
iexplore ,

資料http://888y.com 的登錄檔把它刪除吧!
或是有看到數值
internat.exe ,資料http://888y.com 的登錄檔也把它刪除吧! 

最後就是重點了!!! 也就是清除開機會在登錄的問題!!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
然後右邊會有個
數值
為"
zxdows " , 資料為 "  regedit -s c:windowssystemzxdows.dll "
數值為"  " , 資料為 " 
regedit-sc:windowssystemu18.dll "
數值為"
88u88 " , 資料為 "  regedit-sc:windowssystem88u88.dll "
數值為"
u18 " , 資料為 "  regedit-sc:windowssystemu18.dll "
麻煩你把它刪除吧! 只要有看到數值是跟上方一樣,或是資料跟上方一樣! 都把它通通砍掉!!!

03.進入

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion
看看是不是有個資料夾為 " 
Run- " ,是 " Run- " 不是 " Run " 喔!!!
有的話,麻煩你把它整個資料夾刪除吧!

04.按"開始"->"搜尋"->然後在 c:windowssystem
去搜尋
zxdows.dllu18.dll 88u88.dll 找到後直接刪除!!!
或是直接到c:windowssystem找到這些檔案 ,來直接刪除他!
(但,必須關閉"工具"->"資料夾選項"->"檢視"中的隱藏系統檔..

才可以看的到 那些檔案)
P.S 此檔案一定要刪除!!!

***大致上這樣已經OK了! 移除完後,重開機即可成功解除了!!!

不過還要在麻煩你看看你的新增移除程式有沒有被安裝了網路實名!
(我的電腦->控制台->
新增移除程式) 有的話,直接點選移除!!

--------------------------------------------------------

如果是被 http://9i5.com/ 網站綁架~
請 看教學文章 remove-9i5.htm 來移除,即可完整移除!

首先先重新設定你的首頁!!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain
然後右邊會有一個數值為"
Start Page " --->這是在修改你的"首頁"
也就是每次開啟IE瀏覽器所出現的第一個網頁--->你只要在這個"Start Page"的數值上
按滑鼠左鍵兩下然後輸入你想要的網站!!! 例如: 奇摩站的網址為:
http://tw.yahoo.com/

03.另外再進入

HKEY_CURRENT_USERSoftwarePoliciesMicrosoft
如果有 "
Internet Explorer " 的資料夾,那就刪除 " Internet Explorer "整個資料夾即可!!!

***接著再用這個網址-> "  http://9i5.com " 在登錄編輯器上搜尋,找到的通通砍除!!! 

***然後是清除開機會再執行IE的問題!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
如果有看到數值
iexplore ,資料http://9i5.com 的登錄檔把它刪除吧!
或是有看到數值
internat.exe ,資料http://9i5.com 的登錄檔也把它刪除吧! 

***最後就是重點了!!! 也就是清除開機會在登錄的問題!!!

01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
然後右邊會有個數值為"
zxdows " , 資料為 "  regedit -s c:windowssystemzxdows.dll "
麻煩你把它刪除吧! 只要有看到數值是跟上方一樣,或是資料跟上方一樣! 都把它通通砍掉!!!

03.進入

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersion

看看是不是有個資料夾為 " Run- " ,是 " Run- " 不是 " Run " 喔!!!
有的話,麻煩你把它整個資料夾刪除吧!

04.按"開始"->"搜尋"->然後在 c:windowssystem

去搜尋 zxdows.dll 找到後直接刪除!!!
或是直接到c:windowssystem找到檔案 ,來直接刪除他!
(但,必須關閉"工具"->"資料夾選項"->"檢視"中的隱藏系統檔..才可以看的到檔案)

P.S 此檔案一定要刪除!!!

***大致上這樣已經OK了! 移除完後,重開機即可成功解除了!!!

不過還要在麻煩你看看你的新增移除程式有沒有被安裝了網路實名!
(我的電腦->控制台->
新增移除程式) 有的話,直接點選移除!!

--------------------------------------------------------

如果是被 http://www.37021.com/ 或是 http://8877.net/ 網站綁架
(或是叫做 酷站大全 的網站也可以適用)
請看教學文章 remove-37021or8877.htm 來移除,即可移除!

首先先建議你重新設定你的首頁!!! ***

 01.按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".

02.進入

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 和

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain
然後右邊會有一個數值為" Start Page " --->這是在修改你的"首頁"
也就是每次開啟IE瀏覽器所出現的第一個網頁--->

你只要在這個"Start Page"的數值上
按滑鼠左鍵兩下然後輸入你想要的網站!!!

例如: 奇摩站的網址為: http://tw.yahoo.com/

03.另外再進入

HKEY_CURRENT_USERSoftwarePoliciesMicrosoft
如果有 " Internet Explorer " 的資料夾,

那就刪除 " Internet Explorer "整個資料夾即可!!!

*** 設定好後,開啟IE看看是否為你設定的首頁! 如果正確的話!!! ***

那再開始進行全面清除!先建議你用那個綁架你的網址到登錄編輯器上搜尋!
有找到的登錄值都刪除!!!

*** 然後再做最後清除開機會再登錄的問題! ***

01.到 "系統設定公用程式(或稱系統組態編輯程式)"
看看啟動那裡是不是還有被開機自動載入或登錄了!!!
按"開始"->"執行"->然後在"開啟"的空格內輸入 "msconfig"

接著會跑出 "系統設定公用程式(或稱系統組態編輯程式)",
接著再看看啟動(或是 RunStartup 也就是在最右邊的選項)
那裡有沒有那個網站的連結或是奇怪ㄉ .hta檔,
有的話把他前面ㄉ框框的勾勾取消掉!!!

02.最後按"開始"->"執行"->然後在"開啟"的空格內輸入"regedit"
接著會跑出"登錄編輯器".
並到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 和
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
這兩個地方看看有沒有剛剛所取消的檔案,有ㄉ話把它的登陸值給刪除掉!!!
再找到該路徑的檔案......把它給刪除掉,避免它再次登錄!!!

P.S

有時候因為作業系統的不同所致~會在系統組態編輯程式取消掉上面的框框後...
而在上面兩個登錄位置找不到剛剛取消的檔案登錄檔!!!

解決的方法是...再次進入系統組態編輯程式,並恢復打勾...!!
接這再到上面的兩個登錄位置進行尋找並刪除!!!

還有下面是http://www.37021.com/網站所提供的方法!

幾類需手工解除的惡意代碼詳解

1.開機跳出網頁

症狀 :

開機就會跳出網頁,通常都會跳出很多視窗,讓你點個措手不及.

解決步驟 :

開始-執行-(輸入)msconfig-啟動-把理面有網址類的,後面為url的,html的,htm的都勾掉

2.每次啟動後注冊表就會被更改

解決步驟 :

開始-執行-(輸入)msconfig-啟動,把執行的文件名不一定的,不過參數里面有個regedit-s 加文件名的項勾掉即可
(記得先解決這個後再修復注冊表)

3.每隔一段時間就跳出ie視窗

症狀 :

這是個比較特殊的例子,這個惡意代碼利用hta的特性,隱藏掉窗體,然後一段時間就跳出網頁,超煩人.

解決步驟 :

開始-執行-(輸入)msconfig-啟動-把後面為hta的都勾掉

------

1.有些會在開機時自動打開IE的:

1A.請看看你的“啟動”功能表裡是不是多了一些陌生的文件(***.hta)..把它刪除就沒事了。

1B.如果沒有(***.hta)文件的,請打開注冊表“開始 -> 執行 -> regedit”進入注冊表,

來到“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”,看到有網址的直接刪除就是了。

1C 點“開始”功能表 再點 “執行” 運行msconfig.exe 點啟動標籤後去掉沒用的啟動項 後重啟就好  

1D.上面3個方法都不行的:
請先打開你的文件夾選項,將"顯示所有文件"打開,再用WIN**的搜索功能搜尋有關自動打開的"網址"
將找到的文件(一般為HTM網頁文件)刪除、並記下文件名(F);
再到注冊表裡搜索剛才查到的"文件名(F)",將找到的字段刪除就可以了。

.修改右鍵功能表(右鍵功能表裡多了一些網站連接的): 

2A.如果右鍵中有網站連接。請打開注冊表(C:WindowsRegedit.exe),搜尋有關該連接名的鍵值,將找到的(一般只有1個)刪除就OK了。  

2B.或者直接通過“開始 -> 運行 -> regedit”進入注冊表,來到
“HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMenuExt”位置,

點擊文件夾的“+”號,我們可以看到常見的下載軟體網際快車右鍵下載等等的資訊 ,直接刪除您不想要的即可。

.其他修改方法(有的在工作列、工具欄等多了一些網站連接的) 

你直接通過“開始 -> 執行 -> regedit”進入注冊表,然後點 “編輯 -> 搜尋 -> 搜尋相應字段(工作列、工具欄等多了的網站名稱)”
找到後直接刪除即可。

.如仍未修復成功,您可以用注冊表和WIN**的搜索功能搜尋有關字段和硬碟上文件的內容!

引用 http://nomo.myweb.hinet.net/teach/remove-37021or8877.htm

P.S 以上針對5個網站所提供的移除教學是以前所撰寫的
若有無效的情形,代表該網站的綁架手法已經翻新!!

(狀況七)

(問題)有人有遇過首頁綁架的方式是 rewrite page嗎? 我朋友 的網頁 並非 然被篡改. 只是首頁部份區塊被強制箝入 html 並連結到某些大陸網頁. registry 上的 start page 是正常設定在 google. 所以可能是 binary file 被置換了.

是否有比較好的 spyware detector 可以 搜出這類的軟體呢? 因為著用卡巴司機 和 adaware 雖然有找到一些. 可是 首頁依然有廣告的箝入出現.

(對策)檢查hosts有沒有被植入www.google.com等等的網址...
用notepad開
[WINROOT]system32driversetchosts

WINROOT就是你的Windows資料夾,可能是C:Windows or C:WINNT

或者其他你自己設定的(D: E: 自己打的...any else)

有一些網址如果被轉到其他的釣魚網站的ip,就會變成連過去就是釣魚網站

把這些東西刪掉存檔就可以了,另外如果有病毒可能你做了一些動作
又會被改回來....要注意掃毒

網頁瀏覽被植入惡意廣告

問題描述:

使用網頁瀏覽器開啟YAHOO首頁,防毒軟體跳出警告訊息,內容為偵測到ad.yieldmanager.com的廣告病毒,並詢問如何處理,選擇刪除後跳出找不到檔案,無法刪除訊息,但是下次開啟YAHOO首頁還是會出現病毒警告。

維修實錄:

1.於開始,執行,輸入regedit,確定,出現登錄編輯程式。


2.於上方工具列,編輯,尋找,輸入yield,搜尋後出現幾個奇怪的登錄檔,分別為000,001,002。


3.刪除登錄檔。

4.使用瀏覽器開啟YAHOO首頁,不會跳出訊息,廣告移除。

附上一些的其他教學文章,提供參考

解決首頁被綁架之方法大全
http://myweb.hinet.net/home2/nomo/teach/un-web-kidnap.htm

首頁被改無法更改解法
http://www.how2use.idv.tw/secret/iehomech.htm

瀏覽器IE的首頁被綁架的解決方法
http://yuan.yocjh.kh.edu.tw/%B1%D0%A7%F7/%AD%BA%AD%B6%B3Q%B8j%AC[.htm

[參考來源]

http://tw.myblog.yahoo.com/hungyangchiu/article?mid=1247&prev=487&next=1242

http://tw.myblog.yahoo.com/hungyangchiu/article?mid=487&sc=1

http://tw.myblog.yahoo.com/jw!JQ3OWTGfEQ7iz1M_k99W/article?mid=346

http://nomo.myweb.hinet.net/teach/un-web-kidnap.htm

http://forum.icst.org.tw/phpbb/viewtopic.php?t=43

http://tw.group.knowledge.yahoo.com/amazing-amazing/article/view?aid=161

http://blog.wtifun.com/%E6%95%99%E5%AD%B8ie%E8%A2%AB%E7%B6%81%E6%9E%B6%E7%9A%84%E4%BF%AE%E5%BE%A9%E6%96%B9%E6%B3%95

http://briian.com/?p=9096&utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+briian+%28briian.com%29&utm_content=Yahoo!+Mail

平均分數:0 顆星    投票人數:0
我要評分:
回應
芝麻開門優惠網
Print
Re:[圍巾多變化打法],By Grace's Life v.s. Travel~* 於2010-12-09





Powered by Xuite
關鍵字
累積 | 今日
loading......

96.6.2日上線發表首篇於部落格
保佑女兒永遠健康幸福
真心善良菩薩守護我們

利益揭露:您下單購物我獲推薦金
以下下單購物我得推薦金!!
現在時間
即時時間新聞
全台氣象台






平均分數:0 顆星
投票人數:0
我要評分: