[求助]：原IE空白主页被51115.com网站恶意占领，居然无法修改。

jszjyjjx

今日上网突然原来的空白主页被http://51115.com/所代替，十分来火！
于是在注册表中进行了修改。但重新启动后并没有解决问题，不知那里出了毛病了。
我的修改步骤是：

第一次：找到注册表的 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 　　下，在右边找到串值“Start Page”双击 ，将Start Page的键值改为“about :blank”（都改了）
重启动后不行。

第二次：找到注册表的 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ Main\Default_Page_URL ，把“Default_Page_URL”这个子键的键值也改为了空白页。（都改了）
重启动后依然不行。

第三次：想来是否是加了自运行程序，又到注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run 　　主键下并没有registry.exe子键可删除。
真是奇怪了.......

第四次：没有办法了就把这个破网站在IE中设置为受限制的站点，结果网站不出来了，但在地址栏还是有这个网址。

实在是想不出原因了！
请教到底怎样就可以还回我的空白主页了！？
请求帮助，不胜感激！
　

小不点儿

装个超级兔子或优化大师，可以修改。

jszjyjjx

最初由 小不点儿 发布
[B]装个超级兔子或优化大师，可以修改。 [/B]

问题是这类软件我都不喜欢用啊！谢谢你哦小不点儿！

难道就不能解决了？
顺便说下，系统是XP 的SP2。

小不点儿

单看这个置顶帖，或许对你有帮助：
http://www.xdcad.net/forum/showthread.php?s=&threadid=207497

jszjyjjx

看了几遍了，我的前2次方法都是和帖子中讲的一样啊........
就是不知那里出问题了。

小不点真是热心啊！论坛都像你这样热心就什么问题都解决了.......

我按照“兰心儿”的又试了，仍然没有解决问题。
现在是把这个破网站在IE中设置为受限制的站点，结果网站不出来了，但在地址栏还是有这个网址。
附图：

ljt040404

用IE修复软件修复了之后再卸载不就成了嘛！！！

SLMin

刚才试了一下，修改Start Page的键值就可以解决问题，没发现其他问题！

请楼主检查一下系统盘下的隐藏文件～～～～

xionghr

应该是启动了一些恶意的动态链接库造成的，楼主可下载一个HIJACKTHIS，把你的系统扫描一下。扫描结果贴出来看看。对付这类恶意网站，Hijackthis是最有效的工具。

jszjyjjx

最初由 xionghr 发布
[B]应该是启动了一些恶意的动态链接库造成的，楼主可下载一个HIJACKTHIS，把你的系统扫描一下。扫描结果贴出来看看。对付这类恶意网站，Hijackthis是最有效的工具。 [/B]

可怜俺了全是E文啊？扫描也不知对否......
请看下附件图中是那一个是恶意的啊........还不知对不对呢.....
如巧对的话应当怎么操作呀？请明确告知啊......
谢谢.......

最初由 SLMin 发布
[B]刚才试了一下，修改Start Page的键值就可以解决问题，没发现其他问题！

请楼主检查一下系统盘下的隐藏文件～～～～ [/B]

回斑竹呀！
俺可以肯定修改了Start Page的键值了啊.....没有解决问题啊！
告诉俺系统盘下的隐藏文件～～～～ 是哪个呢？
谢谢啊.......

xionghr

这样不全的，扫描结果可存入一个.log文件的（save log按钮），用记事本打开它，复制到帖子中。
程序本身是有汉化版的，网上很多，扫描结果嘛，当然只能是E文。

jszjyjjx

最初由 xionghr 发布
[B]这样不全的，扫描结果可存入一个.log文件的，用记事本打开它，复制到帖子中。
程序本身是有汉化版的，网上很多，扫描结果嘛，当然只能是E文。 [/B]

好的！麻烦你了！
俺刚搜索下的不知有汉化的哦.....

下面
Logfile of HijackThis v1.97.2
Scan saved at 23:02:14, on 2005-10-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system\Rund132.exe
C:\WINDOWS\system32\ctfmon.exe
D:\安装office\Office\2052\OLFSNT40.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\svchost.exe
D:\迅雷\Thunder\Thunder.exe
D:\迅雷\Thunder\MediaIssue\Issue.exe
D:\HijackThis.exe

O2 - BHO: (no name) - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v5.dll
O2 - BHO: (no name) - {0005A87D-D626-4B3A-84F9-1D9571695F57} - C:\WINDOWS\system32\ThunderBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\QQXIN\QQIEHelper.dll
O2 - BHO: (no name) - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - D:\
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\
O2 - BHO: (no name) - {DAFE0426-96F6-472E-B98D-EF873EB7CFF2} - C:\WINDOWS\system32\toolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [17lelestart] C:\Program Files\VisionNet\17lele\system\17lele.exe 17LELEMIN
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [迅雷4] D:\
O4 - HKLM\..\Run: [Rund132.exe] C:\WINDOWS\system\Rund132.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
O8 - Extra context menu item: &使用迅雷下载 - D:\
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\QQXIN\AddToNetDisk.htm
O8 - Extra context menu item: 使用彩信超级自写发送到手机 - http://mms.sina.com.cn/mmsnews.html
O8 - Extra context menu item: 使用影音传送带下载 - D:\
O8 - Extra context menu item: 使用影音传送带下载全部链接 - D:\
O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FLASHGET\jc_all.htm
O8 - Extra context menu item: 发送图片到手机(&M) - http://sms.sina.com.cn/diy/send.html?from=20000001
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\QQXIN\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\QQXIN\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\QQXIN\SendMMS.htm
O9 - Extra button: QQ (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DB5965F-A0DE-43ED-9F19-8B65579725EC}:

gfhyl

从卡卡社区转的,楼主可以参考一下.
先终止下面的进程
C:\WINDOWS\system\taskmgr.exe

（关闭所有窗口，同时按下CTRL+ALT+DELETE，在打开的窗口中选中要终止的进程，然后按下“结束任务”或者“结束进程”，最后关闭该窗口。taskmgr.exe与系统进程同名，无法终止的话，建议使用第三方进程管理软件，比如HijackThis自带的进程管理器来终止其进程<下面的叙述以1.98.2版为准>——
打开HijackThis——config——Misc Tools——Open process manager——选中要终止的进程——点“kill process”）

3 请关闭所有IE窗口和文件夹窗口，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。
O4 - HKLM\..\Run: [taskmgr] C:\WINDOWS\system\taskmgr.exe

4 修复后，重新启动到安全模式，
打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

，最后找到如下文件并删除（如果有的话）。如果担心误删正常文件可以先把它压缩保存。
C:\WINDOWS\system\taskmgr.exe

xionghr

C:\WINDOWS\system\Rund132.exe这个显然是病毒，先结束进程，再删除它。
O2 - BHO: (no name) - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - D:\
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O4 - HKLM\..\Run: [Rund132.exe] C:\WINDOWS\system\Rund132.exe上面这些在前面打上勾，然后Fix Checked。
O2 - BHO: (no name) - {DAFE0426-96F6-472E-B98D-EF873EB7CFF2} - C:\WINDOWS\system32\toolbar2.dll
O4 - HKLM\..\Run: [17lelestart] C:\Program Files\VisionNet\17lele\system\17lele.exe 17LELEMIN
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
上面这些不知是什么，你自己看看能否删，最好全部删了，好象没什么用的。不过，我用的是xp sp1，楼主删之前最好备份一下。

jszjyjjx

最初由 xionghr 发布
[B]C:\WINDOWS\system\Rund132.exe这个显然是病毒，先结束进程，再删除它。
O2 - BHO: (no name) - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - D:\
O2 - BHO: (no name) - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O4 - HKLM\..\Run: [Rund132.exe] C:\WINDOWS\system\Rund132.exe上面这些在前面打上勾，然后Fix Checked。
O2 - BHO: (no name) - {DAFE0426-96F6-472E-B98D-EF873EB7CFF2} - C:\WINDOWS\system32\toolbar2.dll
O4 - HKLM\..\Run: [17lelestart] C:\Program Files\VisionNet\17lele\system\17lele.exe 17LELEMIN
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
上面这些不知是什么，你自己看看能否删，最好全部删了，好象没什么用的。不过，我用的是xp sp1，楼主删之前最好备份一下。[/B]

俺按照您的做法是全部删除了！呵呵....没有备份哦......
再次打开IE已经没有了！十分感谢！！！
没有重新启动，还不知要紧否！
但现在这一讨厌的网站名没有了！高兴了..........
向你学习啊....

xionghr

晕，楼主胆大，出问题可别怪我哦！
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG这些东西好象是和windows用户有关的，不过在我的SP1上没有，你最好是启动一下看看。