联系我们

关注微信:西杰理财管家进销存软件
在线QQ:9522043
微信公众号:QQ9522043
邮箱:xjcisoft@126.com
淘宝:shop60683673.taobao.com点击这里给我发消息
浏览器主页被劫持怎么办?
作者:西杰电脑知识网  来源:西杰电脑知识网  发表时间:2013-02-23 浏览次数:

你电脑打开网页时有没有遇到过浏览器主页莫名其妙的被改掉了,每次启动浏览器都会跳转向一些航类网站比如hao123或者其他莫名其妙的网站),这种修改浏览器主页的做法确实让人很苦恼,下面介绍一下为什么浏览器主页会被修改的几种常见情况:

1、安装了某些捆绑主页插件的软件或者游戏

2、浏览网页时被偷偷修改了首页

3、感染木马,病毒等。

那么如果浏览器首页被修改,如何改回来呢?很多朋友反映不知道怎么取消掉,下面介绍一下几种方法,希望能帮到亲哦!

1、谷歌浏览器chrome首页被劫持,一般情况下删除桌面的chrome快捷方式然后从chrome安装目录里重新发送桌面快捷方式即可。

2、IE浏览器首页被劫持,一般情况下重新设置IE浏览器的首页网址即可,方法:在IE窗口选菜单‘工具’里的‘internet选项’,输入首页网址。

烦人的www.927927.com
  安装完win10后就有一个网址死活赖在系统里不走,就是www.927927.com/?Axxxx,打开IE和Edge就就是它,然后很快就转到web.sogou.com/?xxxxx,这两个网址后面的x代表不同的数字组合,应该是推广编号,前面927927后的面的数字在我每次清理后重新出现时都会改变,以下是我的一系列清理历史。
  最早装完win10,发现927927后,以为是装win10时用的PE带来的,或者是激活工具带来的,没太在意,找一找IE快捷方式属性,改属性的大多是激活工具,而www.927927.com却是在注册表里,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main,在win10的注册表编辑器里这两地能很快速的访问,在它们的右键菜单里就是访问对方的命令,还有一地是HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer,这是32位IE的地盘,我装的是64位系统,所以还有32位的IE(在C:\Program Files (x86)\Internet Explorer)需要清理,在main的右边,找这个网址,如Default_Page_URL、First Home Page、Start Page(这个就是Internet选项里的主页设置,所以仅在那里改是没用的,其它地方的值依然被篡改并劫持IE主页或打开IE后跳出的第一个网页)等,改成自己想要的网址就行,或者改成空白页:about:blank,或者空白标签页:about:tab。
  以上修改也是目前网上所说的通用修复方法,万一遇到不让改的情况,设置一下main的权限就是。但是这样的修改对我遇到的这个情况并不彻底,改好后能消停一段时间,但没几天,长一个月,短一两天,它又自己回来了,不得不再改一次。当发现927927重复出现后,我开始怀疑电脑上有什么隐藏的程序在监视,所以一度再次怀疑到激活工具。为了监视系统修改情况,我用上了Procmon,但连续几天下来都没有抓到修改对应注册表的黑手。
  而每次927927清理后重复出现似乎都在win10蓝屏(win10似乎比较喜欢蓝屏,每次蓝屏会自动重启,然后就安宁一阵,有时重启好几次,直到进入修复界面,不得不使用系统还原才能搞定,不知道是内存兼容还是新补丁引起的问题,每月补丁日后都是让我担心的时间,题外话不提)后,一启动这个网址就出现,说明它并不是中途上车,而是在从起点站就来的,这用Procmon就难监视了,特别是Procmon启动监视默认日志保存在系统盘占用大量空间,让我不得不停用它。加上蓝屏重启恢复这个因素,我又怀疑上win10是不是有什么机制在刚安装好时保留了初始设置,而初始设置是不是已经被污染。
  这个污染的想法来源于网上所说的927927网址来源于老毛桃PE,我用的正是这个PE,但是我翻了好久也没找到初始设置存在哪里,连系统还原也清理掉了,927927仍然顽固地出现,后来我找到C:\Windows\System32\config,这里保存着当前的系统配置(注册表),在其中的RegBack文件夹里应该是上一次稳定运行时保留的注册表信息,在其中几次清理干净后再从注册表编辑器里挂载其中的software(即HKEY_LOCAL_MACHINE\SOFTWARE),发现上一次的信息里就有927927的网址,用pe启动再挂载software,修改过来,保存回去,但几天再次验证这个方法不行,927927又回来了。
  最后我决定重现犯罪现场,用那个PE到虚拟机再装一次WIN10(PE启动虚拟机就是把U盘作物理硬盘添加到虚拟机中),终于发现原来是里面带的window安装器的毛病,在它安装install.wim后会把私货带入系统,其中一个vbs脚本文件放到C:\ProgramData\下的开始菜单(C:\programdata\microsoft\windows\start menu\programs\startup\)启动文件夹内(文件名是随机字母数字组合,后缀名是.vbs),在系统第一次启动时就开始运行它,它将启动c:\windows\底下一个也是随机字母数字组合的.exe程序,当然执行完这个脚本文件就删掉自己看不到了,我是在系统第一次启动前就去找才找到它的,那个随机文件名的exe程序也会在执行完后消失(怪不得曾经尝试全盘扫描,果不出所料杀毒软件们没有发现任何有用的东西),但会留下一个驱动放在c:\windows\system32\drivers\下,文件名是usbxxxx.sys,xxxx是四位数字组合,看一下文件属性,日期和其它系统驱动就不一样,还有数字签名,如图,那个拼音,河池市0778网络科技有限公司?
 

927927网址劫持主页
927927网址劫持主页
 
除了落下这个usb开头的驱动外,当然还有添加注册表的行为,就是那一堆www.927927.com,如果检测到还有其它浏览器,一样改,同时还在浏览器收藏夹里加上好多的广告链接网址,这些网址倒是在我清理一次后再也没出现过,看来留下的usb开头的驱动只有劫持IE的功能,不断重复添加927927。
  为了确实一点,又用那个安装器(注,不是所有的此类安装器都是这样,但挟带私货的还是有的)装了个WIN7,一样结果,没跑了。找准对象就可以动手了,干掉usb开头的usbxxxx.sys驱动,并要仔细检查一下文件属性中的版权信息,如果版权不是microsoft,那么就是它这个伪装的西贝货。干它!(注意有一正常驱动文件usb8023.sys,也在同一位置,但其为微软文件,且文件日期与其它微软文件是一样的,不要误删哦)

 

 

上条新闻:伴你理财每一天