一次卸载垃圾软件绑定5QBB.com的心得

最近在研究一个东西，下载时忘记看了，不小心下载了下载网站上的垃圾软件

就是那种是DUDU播放之类的。

PS：现在的很多垃圾下载网站把那些软件下载放在真正下载链接附近让人混淆很容易点错

结果发现不对时已经安装完了：（，都怪当时一边吃饭一边看电视一边点下一步，都没看软件名就。。。。

只好卸载了，还好软件都下载完了，没啥

接下来发现IE被恶意改成了好像是 5QBB.com ，先没当回事情

就先360搞了次，结果是扫描出来3个垃圾，清理，以为好了

结果重启后还是IE如此，紧张起来

接下来开始注册表查询，没有这个网址的注册信息，IE默认主页也是空的，怎么回事？

第一反应是IE被改写了，心想厉害啊，只好MD5验证下是不是iexplore.exe被改写过

结果没有，又觉得奇怪了

后来看了下快捷方式里的属性，才知道NND，居然在每个IE快捷入口都写了"C:/Program Files/Internet Explorer/iexplore.exe" “c:/windows/system32/index.htm”，那就去除后面的了。都解决了！！！

但是我突然还是有些好奇和不放心，继续研究c:/windows/system32/index.htm

再研究，日，居然找不到它，我明明是显示所有隐藏文件的

后来我才想起来有些垃圾软件会屏蔽系统显示所有隐藏文件功能，只好再次动用注册表了

　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]，将CheckedValue的值改为1。

日，这帮家伙真的够多弯子的

好了，可以看到c:/windows/system32/index.htm了，但是是只读的，只好再搞个文件属性修改器，修改之，变成可以修改的。

然后把它修改掉PS：不要删除，免得系统出异常。

呵呵，总算搞完了

经历这些我发现一些垃圾软件一些新做法，但还是老一套，就是尽量隐藏他们的做法，尽量用以前垃圾没用过的方法

最后附上常见IE被篡改绑架的一些做法和处理方法：

=====================================================

　　（1）默认主页被修改

　　破坏特性：默认主页被自动改为某网站的网址。

　　表现形式：浏览器的默认主页被自动设为如www.******.com的网址。

　　清除方法：

　　▲采用手动修改注册表法，开始菜单→运行→regedit→确定，打开注册表编辑工具，按下顺序依次打开：HKEY_LOCAL_USER/Software/Microsoft/InternetExplorer/Main分支，找到Default_Page_URL键值名（用来设置默认主页），在右窗口点击右键进行修改即可。按F5键刷新生效。

　　▲自动文件导入注册表法：请把以下内容输入或粘贴到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main]

　　“default_page_url”=“*********”（这部分为你自己的默认主页）

　　（2）默认首页被修改

　　破坏特性：默认首页被自动改为某网站的网址。

　　表现形式：浏览器的默认主页被自动设为如www.*******.com的网址。

　　清除方法：

　　▲采用手动修改注册表法，开始菜单→运行→regedit→确定，打开注册表编辑工具，按下顺序依次打开：HKEY_LOCAL_USER/Software/Microsoft/InternetExplorer/Main分支，找到StartPage键值名（用来设置默认首页），在右窗口点击右键进行修改即可。按F5键刷新生效。

　　▲自动文件导入注册表法：请把以下内容输入或粘贴到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main]

　　“Startpage”=“*********”（这部分为你自己的默认首页）

　　（3）主页设置被屏蔽锁定，且设置选项无效不可更改

　　破坏特性：主页设置被禁用。

　　表现形式：主页地址栏变灰色被屏蔽。

　　清除方法：

　　▲采用手动修改注册表法，开始菜单→运行→regedit→确定，打开注册表编辑工具，按下顺序依次打开：HKEY_LOCAL_USER/Software/Microsoft/InternetExplorer/Main分支，新建“ControlPanel”主键，然后在此主键下新建键值名为“HomePage”的DWORD值，值为“00000000”，按F5键刷新生效。

　　▲自动文件导入注册表法：请把以下内容输入或粘贴到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_LOCAL_USER/Software/Policies/Microsoft/InternetExplorer/ControlPanel]

　　“Homepage”=dword:00000000

　　（4）默认的IE搜索引擎被修改

　　破坏特性：将IE的默认微软搜索引擎更改。

　　表现形式：搜索引擎被篡改。

　　清除方法：

　　▲采用手动修改注册表法，开始菜单→运行→regedit→确定，打开注册表编辑工具，第一，按下顺序依次打开：HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search分支，找到“SearchAssistant”键值名，在右窗口点击“修改”，即可对其键值进行输入为：http://ie.serach.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm，然后再找到“CustomizeSearch”键值名，将其键为：http://ie.serach.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm，按F5键刷新生效。

　　▲自动文件导入注册表法：请把以下内容输入或粘贴到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Search]

　　“SearchAssistant”=“http://ie.serach.msn.com/{SUB_RFC1766}/srchasst/

　　srchasst.htm”

　　“CustomizeSearch”=“http://ie.serach.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm”

　　（5）IE标题栏被添加非法信息

　　破坏特性：通过修改注册表，使IE标题栏被强行添加宣传网站的广告信息。

　　表现形式：在IE顶端蓝色标题栏上多出了“正点网，即使正点网！http://www.zhengdian.com”尾巴。

　　清除方法：

　　▲采用手动修改注册表法，开始菜单→运行→regedit→确定，打开注册表编辑工具，第一，按下顺序依次打开：HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main分支，找到“WindowsTitle”键值名，输入键值为MicrosoftInternetExplorer，按F5键刷新。第二，按下顺序依次打开：HKEY_CURRENT_MACHINE/Software/Microsoft/InternetExplorer/Main分支，找到“WindowsTitle”键值名，输入键值为MicrosoftInternetExplorer，按F5键刷新生效。

　　▲自动文件导入注册表法：请把以下内容输入或粘贴到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_CURRENT_USER/Software/Microsoft/InternetExplorer/Main]

　　“WindowsTitle”=“MicrosoftInternetExplorer”

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main]

　　“WindowsTitle”=“MicrosoftInternetExplorer”

　　（6）OE标题栏被添加非法信息

　　破坏特性：通过修改注册表，在微软的集成电子邮件程序MicrosoftOutlook顶端标题栏添加宣传网站的广告信息。

　　表现形式：在顶端的OutlookExpress蓝色标题栏添加非法信息。

　　清除方法：

　　▲采用手动修改注册表法，开始菜单→运行→regedit→确定，打开注册表编辑工具，按下顺序依次打开：HKEY_LOCAL_USER/Software/Microsoft/OutlookExpress分支，找到WindowsTitle以及StoreRoot键值名，将其键值均设为空，按F5键刷新生效。

　　▲自动文件导入注册表法：请把以下内容输入或粘贴到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_CURRENT_USER/Software/Microsoft/OutlookExpress]

　　“WindowsTitle”=“”

　　“StoreRoot”=“”

　　（7）鼠标右键菜单被添加非法网站链接

　　破坏特性：通过修改注册表，在鼠标右键弹出菜单里被添加非法站点的链接。

　　表现形式：添加“网址之家”等诸如此类的链接信息。

　　清除方法：开始菜单→运行→regedit→确定，打开注册表编辑工具，按下顺序依次打开：HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetEXplorer/MenuExt分支，在左边窗口凡是属于非法链接的主键一律删除，按F5键刷新生效。

　　（8）鼠标右键弹出菜单功能被禁用失常

　　破坏特性：通过修改注册表，鼠标右键弹出菜单功能在IE浏览器中被完全禁止。

　　表现形式：在IE中点击右键毫无反应。

　　清除方法：

　　▲采用手动修改注册表法，开始菜单→运行→regedit→确定，打开注册表编辑工具，按下顺序依次打开：HKEY_CRRENT_USER/Software/Policies/Microsoft/InternetExplorer/Restrictions分支，找到“NoBrowserContextMenu”键值名，将其键值均设为“00000000”，按F5键刷新生效。

　　▲自动文件导入注册表法：请把以下内容输入或粘贴到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_CURRENT_USER/Software/Policies/Microsoft/InternetExplorer/Restrictions]

　　“NoBrowserContextMenu”=“00000000”

　　（9）IE收藏夹被强行添加非法网站的地址链接

　　破坏特性：通过修改注册表，强行在IE收藏夹内自动添加非法网站的链接信息。

　　表现形式：躲在收藏夹下。

　　清除方法：请手动直接删除，用鼠标右键移动至该非法网站信息上，点击右键弹出菜单，选择删除即可。

　　（10）锁定地址栏的下拉菜单及其添加文字信息

　　破坏特性：通过修改注册表，将地址栏的下拉菜单锁定变为灰色。

　　表现形式：不仅使下拉菜单消失，而且在其上覆盖非法文字信息。

　　清除方法：开始菜单→运行→regedit→确定，打开注册表编辑工具，按下顺序依次打开：HKEY_CRRENT_USER/Software/Policies/Microsoft/InternetExplorer/Toolbar分支，在右边窗口找到“LinksFolderName”键值名，将其键值均设为“链接”，多余的字符一律去掉，按F5键刷新生效。

　　2·对Windows系统产生的破坏的网页病毒

　　（1）开机出现对话框

　　破坏特性：修改注册表，在Windows的登录窗口里做网站宣传广告。

　　表现形式：一开机就弹出对话提示框，如“欢迎来访www.XXX.com”的信息。

　　清除方法：

　　▲采用手动修改注册表法，开始菜单→运行→regedit→确定，打开注册表编辑工具，第一，按下顺序依次打开：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogon分支，找到“LegalNoticeCaption”及“LegalNoticeText”键值名，在右面窗口点击“修改”，将其键值均设为空，按F5键刷新生效。

　　▲自动文件导入注册表法：请把以下内容输入或粘贴到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Winlogo]

　　“LegalNoticeCaption”=“”

　　“LegalNoticeText”=“”

　　（2）格式化硬盘

　　破坏特性：非法恶意调用系统危险命令，进行破坏。

　　表现形式：出现互动信息框“当前的页面含有不完全的ActiveX，可能会对你造成危害，是否执行？yes,no”。

　　清除方法：只能预防为主，将本机的Format.com或deltree.exe等危险命令改名，勿忘切记！如果你不明确你当前所进行的操作，不要贸然对莫名其妙跳出来的互动窗口做出判断动作，可以用Ctrl+Alt+Del复合键，弹出“关闭程序”窗口，将你不能确认的进程给予“结束任务”，即可中止，让它消失。

　　（3）锁定禁用注册表

　　破坏特性：禁止用户使用注册表编辑器。

　　表现形式：用Regedit打开注册表编辑器时，弹出对话信息框：“注册表编辑已被管理员禁用”。

　　清除方法：由于注册表已被禁用，只有通过自动文件导入注册表法来清除：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]

　　“DisableRegistryTools”=dword:00000000

　　（4）注册表被锁定禁用之后，编辑*.reg注册表文件打开方式错乱

　　破坏特性：无法编辑注册表*.reg文件。

　　表现形式：打开方式失效，文本编辑器里出现无法识别字符！

　　清除方法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_LOCAL_MACHINE/Software/CLASSES/.reg]

　　@=“regedit”

　　（5）启动后首页被再次修改

　　破坏特性：首页被修改，改回后，等再次启动又会被再次改回该网站的首页。

　　表现形式：始终摆脱不了该主页！

　　清除方法：开始菜单→运行→regedit→确定，打开注册表编辑工具，第一，按下顺序依次打开：HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run分支，将Win键值名删除即可；第二，凡是发现有直接http://xxx.xxx.xx形式的键值，一律删除；第三，在Run分支下凡是发现有直接http://xxx.xxx.xx形式的键值，一律删除！

　　（6）更改“我的电脑”下的一系列文件夹名称

　　破坏特性：更改“我的电脑”下的一系列文件夹名称。

　　表现形式：打印机，控制面板，web文件夹，计划任务，拨号网络，回收站被改。

　　清除方法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在C盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

　　REGEDIT4

　　[HKEY_CLASSES_ROOT/CLSID{BDEADF00-C265-11d0-BCED-00A0C90AB50F}]

　　@=“Web文件夹”

　　“InfoTip”=“你可以创建快捷方式，使他们指向你公司Internet或万维网上的Web文件夹。要将文档发布到Web文件夹中或要管理文件夹中的文件，请单击该文件夹的快捷方式。”

　　[HKEY_CLASSES_ROOT/CLSID{992CFFA0-F557-101A-88EC-00DD010CCC48}]

　　@=“拨号网络”

　　“InfoTip”=“即使计算机不在网络上，仍可以使用拨号网络来访问另一计算机上的共享信息。要使用共享资源，拨入的计算机必须设为网络服务器。”

　　[HKEY_CLASSES_ROOT/CLSID{2227A280-3AEA-1069-A2DE-08002B30309D}]

　　@=“打印机”

　　“InfoTip”=“使用打印机文件夹添加并安装本地或网络打印机，或更改现有打印机的设置。”

　　[HKEY_CLASSES_ROOT/CLSID{645FF040-5081-101B-9F08-00AA002F954E}]

　　@=“回收站”

　　“InfoTip”=“包含可以恢复或永久删除的已删除项目。”