ie修复器

百度文库-让每个人平等地提升自我

1

如何修复被劫持、篡改的IE主页

如果你不想看完全文、又急于解决问题，推荐使用金山急救箱（金山网盾）或其它工具修复

鉴于一些人，可能不愿意看完全文，写个内容提要在前面，给一些懒人看，另外，你们到底

哪看不懂，能说说不？我尽量改得通俗一点，或作一些解释，别放弃，如果用什么软件一键

搞定，这问题就不会如此泛滥了，但总有希望，搞清楚规律就能解决：

篡改、劫持IE主页的方法与解决：

1、2、修改注册表，强制访问，可通过在注册表中搜索网址的的方法修复

3、在浏览器快捷方式的属性中添加网址，删除添加部分

4、病毒、木马，通过各种启动项、插件加载，防比杀容易

5、右键菜单加载，也在注册表中

6、软件捆绑，卸载软件再修复

7、修改HOSTS，不常见

总结，推荐注册表搜索法与工具修复法（如360），可选的是HOSTS屏蔽法。

下面说的是一些篡改劫持IE主页的实现途径与对应的解决方法，如果你遇到的不在其中，

欢迎补充与指正。

1、最简单的直接修改，通过注册表（HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet

ExplorerMain中的“startpage”）修改IE的主页设置，也就是IE的internet选项中

的主页（IE菜单中的“工具”－internet选项－常规－主页）。为了不让用户修复，往往

会采取措施禁止主页修改，也就是主页那里是灰色的，无法改变主页的值，一般通过组策略

达到此目的（其实也就是注册表中设置），因为这招已经用老了，所以修复的方法网上都能

查得到，各种IE修复工具也能做到，以至于现在采用这种方法的人也少了，真没什么好多

说的。

百度文库-让每个人平等地提升自我

2

补充：还有一种对注册表的锁定，是通过对注册表项的权限进行修改实现的，取消用户包括

管理员及系统对某个注册表项的“完全控制权”达到无法修改或删除该项的目的，所以修复

前需要右击待修改或待删除的注册表项，进入“权限”中恢复控制权限（勾选“完全控

制”），然后就可以无限制的操作了。

2、通过IE的命令形式，也是修改注册表，会在正常的值后面添加强制访问的网址链接，如：

HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePa

geCommand（正常值：C:ProgramFilesInternetExplorer）

HKEY_CLASSES_ROOThttpshellopencommand（主页设为空白页时的正常值：

"C:ProgramFilesInternetExplorer"-nohome）

此时即使在IE的主页设置中仍然是about:blank（空白页）或其它网址，打开IE也会被上

面注册表项目中添加的网址劫持。修复方法就是恢复上述注册表的正常值。并不排除除以上

两个地方外注册表其余的位置被篡改的可能，一般的建议方法是用篡改的网址作关键字搜索

全部注册表（开始－运行－regedit，打开注册表编辑器，编辑－查找，在查找目标上输入

网址，为提高命中率，可以不加“，甚至不要“”，如果有的话），注意，如果真的搜索到

了，不是一刀全删，比如上面，如果你找到

HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePa

geCommand中有你要找的恶意网址，不是把整个command全干掉，只要把网址部分删除就

可以了，比如command的值是“C:ProgramFilesInternetExplorer，把后面的“删

除就可以了，因为我们要做是恢复原状。如果你不知道原来是什么，可以去正常的电脑上对

照一下相同位置的值是什么，如果别人那里不存在这个项目，你才可以删除，尽管如此，仍

然建议你在操作注册表前备份整个注册表，误操作了别怪我没提醒你。

如果在修改时系统提示你没有权限（有可能），你可以右击要修改的注册表项目（在左

边的）－权限－看看有没有“完全控制”权限，没有就加上去，再做修改。如果你发现连注

百度文库-让每个人平等地提升自我

3

册表也进不了，这种情况你可以用网上解锁注册表的方法或者用工具软件（比如SREng）来

解锁。如果注册表解锁后又锁上了，或者你修改完注册表后又被改回去，说明你的电脑上还

有恶意程序在实时监控，这时情况就升级了，可以叫它病毒，这个后面再说。还一点，就是

你看到的网址可能不是出现在注册表中的网址，域名可以转发的，比如可以转发到上，而且

最终显示在地址栏上的网址就是，而不显示，但这个则是显示在你注册表中的地址，而不会

有，这个就要费点劲了，要么你的眼要快，看清在最终转发网址显示前显示的地址是什么，

或者在注册表中找“”或“”（都有可能），然后再从中鉴别（别找到就删，因为这样找范

围就大了，“”还可能是文件的后缀名，这个可不是网址，我只是举例，而不是真的一定去

找与）。

另外还有一种可能，就是网址加密或转换，这样你在注册表中搜索劫持网址的关键字，

就可能找不到，因此要会变通，既然都是通过ie调用，就直接搜索IE的程序名“”或IE

所在的目录文件夹名“InternetExplorer”，再或者把它们结合起来搜索，然后再检查其

中的键值是否有可疑项，如上面说的command或open之类的值中有没有疑似网址的东西，

将其删除，或者对照其它电脑的注册表，将可能是新增的、非系统原有的注册表项整个删除，

就是你找到的可疑确认项“”或“InternetExplorer”的上级。继续提醒，删除任何注册

表项前请注意备份。

这种搜索注册表的方法也适用于第1种情况。

3、浏览器快捷方式的属性也是重点地区，而且容易被忽略。以IE为例，它的快捷方式可能

位于桌面（注意我指的是快捷方式，就是图标左下角带有小箭头的那种，当然也可能不带小

箭头）和快捷启动栏（开始菜单按钮的右边），右击IE的快捷方式图标－属性，转到“快

捷方式”页，检查“目标”一栏，正常情况下这里是只有ie程序名，而不会带有任何网址，

如果此处出现了某个网站地址，基本就是你每次打开IE时看到的劫持IE的网站了。此时尽

管你的的IE主页上设置的是空白页或其它网址，只要你双击修改过的IE快捷方式打开浏览

器，出现的只会是快捷方式属性中网址。

解决方法：去掉快捷方式属性的目标中的网站地址，或者直接删除快捷方式，重新建立

浏览器的快捷方式。桌面与快速启动栏的快捷方式都要改，不要遗漏。如果遇到删除后又被

加上网址的现象，同上面说的一样，有木马病毒进程在监控。

百度文库-让每个人平等地提升自我

4

4、正如上面说的，如果电脑上有木马病毒进程在监控、保护篡改劫持IE的行为，修复就不

那么容易。要找出它们，应注意各种启动项和加载项上，如注册表启动项、开始菜单中程序

的启动文件夹、各种服务和驱动、浏览器插件等。在修复IE主页前，我们要做的就是清除

这些恶意程序（或直接叫它们木马、病毒），由于此类项目变种很多，所以不一定是杀毒软

件以及所谓专杀木马的软件（题外话，其实杀木马与杀毒并不必严格划分，所谓专杀木马并

不见得比杀毒软件强多少）所能发现与清除的，虽然还是规律可寻的，比如发现的启动项并

不是自己所安装的应用程序、也不是系统文件，自然就有嫌疑；再如有的IE插件，它引用

的文件名是有8位以上的字母随机重合成的，明显不象好人（如果病毒、木马都这么明显就

好了，可惜……）。

如果你对电脑熟悉可以尝试手动查杀，如果不是太熟，可借助360、windows清理助手

等工具，当然也包括杀毒软件来清理，这就不多说了，涉及手动杀毒，难度有点大了。

但杀虽然困难，防却可以简单，一些主动防御或带主动防御的杀毒软件、HIPS等都能

对安装插件或添加服务、驱动进行监控并提示用户，狠一点的干脆就直接禁止了（此举可能

导致某些正常的应用软件无法安装和运行，包括安全工具）。如何判断是否放行，就要看你

是否正在装或运行软件，前提是你知道你在装与在用的软件是正常的，没有搭配木马或病毒；

还有关于插件的安装，如无必要，一般不要安装什么插件，特别在某些陌生的网站上的插件

尽量不要装，除非你确切知道它是干什么的，如支付宝、网银等。没有一劳永逸的方法，要

学会自己判断分析。

如遇此种情况，且使用360、windows清理助手及各种杀毒软件修复仍无效，需要在进行求

助者，请下载SREng扫描日志贴上来(如日志在帖中不能正常显示，可以传附件或重新编辑

原帖去掉日志开头的“code”，除此外请保持日志内容完整)，SREng下载及扫描方法见下

方红色链接

5、除了上面说到的加载方法，还有一个位置，就是右键菜单，曾经从360论坛那里看到的

一个右键菜单加载的例子，这个注册表的位置是SREng日志扫描不出来，而用狙剑却可以扫

出来。我也不相信右键菜单能够加载dll文件，但是后来在电脑报论坛发现一个右键菜单加

载错误导致关闭的求助，才发现这个右键菜单不简单。不过具体原因还是不大明白，谁知道

的或有空的试验下。

HKEY_LOCAL_MACHINESOFTWAREClassesDriveshellexContextMenuHandlers

HKEY_LOCAL_MACHINESOFTWAREClassesFoldershellexContextMenuHandlers

百度文库-让每个人平等地提升自我

5

HKEY_LOCAL_MACHINESOFTWAREClassesDirectoryshellexContextMenuHandlers

6、软件捆绑，这是那些劫持、篡改“IE主页”的各种方法中无奈的一种，软件作者们为了

收益捆绑了某网站，要用他们的软件就要打开该网站或设其为主页。对共享软件作者与推广

网站而言是双赢，对用户则是两难，要用软件、要玩游戏吧，又得忍受不请自来的网站霸占

IE；想保持IE的纯净，又用不了软件或游戏。对此，建议软件、补丁作者给予用户选择权，

不要每次使用都改IE，或注明捆绑，让用户知道、选择，也省得不明真相的用户以为中毒

了，到处求助。给安全论坛添加麻烦。对于用户如果发现IE被改，想想最近是否是下载或

使用了什么软件、游戏，卸载它们或卸载后再修复看看能不能恢复原来的IE状态，而在下

载与安装软件时也要看清楚说明再点下一步。当然这是废话，这里说了也是白说，当我做梦

好了。

7、修改HOSTS，一般用于拦截访问网站，但也可以用于控制访问的转向，不过似乎这个情

况并不常见，如果真的HOSTS被修改，可以手动修复，HOSTS位于

c:windowssystem32driversetc默认该文件中只有一句：“local”，注意开头带

“＃”的表示这一行是注释行，不起作用。如果你使用了360或电脑报的反黑榜之类的HOSTS

文件，自然内容与上述的不同，请注意区别。另外某些工具也有重置与恢复HOSTS的功能，

如SREng。不多说了，这个确实不常见，而且也是杀毒软件与各工具重点盯防的地方，正常

操作也会报警，一般比较。

总结，差不多就这些了，如果你有新鲜的可以补充。总之，没有人会喜欢被人绑架电脑、

强迫访问不愿意去的网站，当然如果你真的在强迫中喜欢上了那个网站，从而真的愿意把它

当作主页，那也没办法。如果不喜欢就自己动手修复吧，注册表搜索法和工具（如360、兔

子、金山清理专家、黄山IE修复等）修复法是我推荐的，如果暂时没法搞定这些恶意网站，

可以把它们的网址（可不带“，指向，如“（不包括引号，单独占一行），这样访问该

网站时会自动转到这个打不开的地址，避免让恶意网站赚流量，也避免进一步的网络风险。