几个需小心的操作系统 下载网站，严重鄙视。（转）

网上下载G H O S T操作系统的朋友注意了：

www.go 2000.cn网址导航站恶意修改主页，恶意修改近50款G H O S T版操作系统、安装版系统的IE默认首页，同时在收藏夹增加几个LJ网站,以下4个域名为同一个站点:

www.gh o st xp.cc

www.9y m p 3.com

www.wi n4 00 0.co m

www.w in 30 00.c om

请大家相互转告及转帖，严重鄙视这种LJ网站。

修改过程及手段：

1、安装过程中在svcpack中运行XPSET.EXE,这是修改主页用的。

2、安装完成首次进入系统时，自动运行mstool.exe，这个文件是捆绑有msconfig.exe文件的。msconfig.exe用来替换系统中原有的msconfig.exe文件。msconfig.exe的作用还是修改主页。

3、msconfig.exe被伪装成reteak声音驱动程序文件，每次开机都自动运行。所以修改后，重启又改为主页。

真配服这位老兄想的出来绝招！毫无疑问，可以为我所用啦。对了，msconfig.exe是用autoit写成的恶意修改主页的脚本。

下面提供一种删除方法：

运行regedit.exe找到

HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand

看到

"C:Program FilesInternet Exploreriexplore.exe" [url]http://www.go2000.cn/

把后面的http://www.go2000.cn/删除，就恢复原样了。

任务栏快速启动栏的IE快捷方式，修改比较简单，直接右击属性，在“目标”里把后面的http://www.go2000.cn/去掉就行。

修复双击桌面IE图示打开对话框的方法：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}]

"InfoTip"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,

6c,00,6c,00,2c,00,2d,00,38,00,38,00,31,00,00,00

"LocalizedString"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,

64,00,6c,00,6c,00,2c,00,2d,00,38,00,38,00,30,00,00,00

[HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}DefaultIcon]

@=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,

00,2d,00,31,00,39,00,30,00,00,00

[HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}InProcServer32]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,

00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,

64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00

"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shell]

@="OpenHomePage"

[HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePage]

@="打开主页(&H)"

"MUIVerb"="@shdoclc.dll,-10241"

[HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand]

@=""C:\Program Files\Internet Explorer\iexplore.exe""

[HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}ShellFolder]

"Attributes"=dword:00000024

"HideFolderVerbs"=""

"WantsParseDisplayName"=""

"HideOnDesktopPerUser"=""

通通改为默认空白主页的方法：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=dword:00000000

#值为1表示禁用注册表编辑器，0为启用。

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=dword:00000000

#值为1表示禁用注册表编辑器，0为启用。

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]

"HomePage"=dword:00000000

"Settings"=dword:00000000

#值为1表示禁用，0为启用。

[HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftInternet ExplorerControl Panel]

"HomePage"=dword:00000000

"Settings"=dword:00000000

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

"Start Page"="about:blank"

"Default_Page_URL"="about:blank"

[HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain]

"Start Page"="about:blank"

"Default_Page_URL"="about:blank"

[HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand]