反病毒实战 四招妙除IE空白页里的木马

　　如今由于IE劫持，导致默认浏览页遭修改是常有的事，所以大家为此早已见怪不怪了，并且还原方法都能倒背如流：只需重新设置IE主页，就可更改回来默认的浏览页。但是笔者在被劫持后，将IE主页设置成空白页时，打开IE浏览器虽然起初浏览的是空白页，可是稍等片刻就会自动跳

　　一、贼喊捉贼，以求蒙惑过关

　　当IE被恶意修改后，相信大家第一操作都会跟笔者一样，将IE被改主页恢复成默认页，或者其他安全主页地址。虽然这种方法通常情况下都会很管用，不过今天笔者修改后，它依然还会强制进入某个恶意网站，并且IE工具栏还会多出一个名称为“Security Tooolbar”工具条，其下方时不时的会提示用户系统有漏洞的虚假信息，让其不懂电脑的用户，受到漏洞的恐吓后根据它所提供的信息提示，进入到伪装扫描木马的英文检测界面。

　　接下来它会提示你系统存在多少恶意软件和木马，其实这些恶意程序都是该程序自己加载进来的。不过你要想利用其软件进行清除，还需要先花钱注册成为其软件的认证会员，然后才能使用该软件的功能，这很明显有点“敲竹杠”的意思，真够无耻的。

　　二、聘请360安全卫士斩断“流氓”第三只手

　　为了不让流氓软件的奸计得逞，我们需要聘请大名鼎鼎的360安全卫士，来铲除潜伏在系统的“流氓”软件。这里从网上下载360安全卫士到本地，然后将其解压安装后，就可自动打开360安全卫士的操作界面(如图1)。

　　默认切入的是“基本状态”标签，此时它会自动帮我们检测出，系统内存在了四款恶意插件，要想对其恶意插件做以详细的检查和清除。我们还需将其标签切入至“清理恶评及系统插件”标签，然后在其编辑区内单击“开始扫描”按钮。稍等片刻后，就可显示出系统里存在恶意插件的相关信息(如图2)。

　　勾选所检测出“流氓软件”前的复选框后，单击“立即清理”按钮，就可顺利将其删除掉。

　　操作完毕后，在左侧“全部插件”栏内，切入至“其他插件”标签，此时你就会发现有几个名称为未知的插件，毫无疑问这就是流氓插件。笔者依次将其前面的复选框全部选中后，单击“立即清理”按钮，唯独有一个流氓插件怎么也删除不掉。于是换用瑞星卡卡、超级兔子等工具，也是依然无法将其删除，有的清除流氓软件，甚至还无法检测到该流氓插件的存在。

　　三、进一步清除其害

　　本以为剩下这一个余孽，应该起不到什么作用，可是当修改IE主页为空白页后，再次打开浏览器，其地址仍然会跳转到其他页面。在没有可依靠工具的办法情况下，笔者只能打开“Windows任务管理器”对话框，从中切入至“进程”标签，意外发现了几个陌生的进程名称，貌似笔者从未安装过这类的程序，极有可能是这些进程保护了流氓软件不被清除的原因。

　　由于恶意进程一般都是相互守护的关系，我们得同时结束这些进程，才能防止其进程死灰复燃。这里可在奇虎360安全卫士软件内进行操作，依次单击上方“高级”按钮，选择“系统进程状态”标签，从中只要勾选上所显示的可疑进程前的复选框后(如图3)。

　　单击右下角“结束选中进程”按钮，就可将选中的进程统一结束。不过还没有完，返回刚才“常用”→“清理恶评软件及系统插件”选项，再重新扫描一下流氓插件并将其清除即可。

　　接下来再次打开IE浏览器，此时空白页面就没有像之前那样，不受控制的跳转到其他页面，大家这里会以为木马已经被搞定了。其实不然当你重新启动计算机后，再次打开IE浏览器，其所访问页面有可能不是空白页，其原因很简单是流氓进程又重新加载运行了，因此我们还需将流氓软件的启动项目及文件进行清除，从而根治空白页里的“恶意潜伏者”。

　　打开“注册表”编辑器，依次展开左侧组件到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run项目处，然后你会在其下发现两个键值为user32.dll和rare的名称，而这两个值正是被流氓插件所利用的键值，所以我们这里必须将其删除掉。操作完毕后，在我的电脑里依次进入到C:\program Files\image activex access\文件夹内，将里面所有潜伏的流氓文件全部删除。当然这里不排除，有些文件是受保护无法删除的，所以我们可以安装“UnlockerV1.85”工具，然后在无法删除的文件上方右击，选择“Unlocker”命令，在弹出的对话框内选择“删除”，就可将其无赖的流氓文件删除(如图4)。

　　小提示：Unlocker是一个免费的右键扩充工具，使用者在安装后，它便能整合于鼠标右键的操作当中，当使用者发现有某个文件或目录无法删除时，只要按下鼠标右键中的“Unlocker”，那么程序马上就会显示出是哪一些程序占用了该目录或文件，接着只要按下弹出的窗口中的“Unlock”就能够为你的文件解套。

　　四、修复注册表空白页项目

　　从小标题顾名思义，先打开“注册表”编辑器，然后依次展开左侧组件到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs键值下，双击右侧“blank”项目名称，在弹出的“编辑字符串”对话框内，查询其里面的数值数据是否为默认的res://mshtml.dll/blank.htm(如图5)，

　　如果不是请将其恢复成默认地址即可。除此之外，还有几个键值也需要修改：

　　Quote:

　　desktopitemnavigationfailure=res://shdoclc.dll/navcancl.htm

　　navigationfailure=res://shdoclc.dll/navcancl.htm

　　offlineinformation=res://shdoclc.dll/offcancl.htm

　　navigationcanceled=res://shdoclc.dll/navcancl.htm

　　home=dword:0000010e

　　postnotcached=res://mshtml.dll/repost.htm

　　以上修改操作完毕后，重新启动一下计算机使其设置生效后，此时你再次打开IE浏览器，所浏览的空白页将不会向以前那样，不受控制的自动跳转到其他恶意页内了。