IE首页被劫持www.2548.cn的解决办法
发布:admin | 发布时间: 2010年4月9日请先使用这个方法:在C:\WINDOWS\Kingsoft\KSWebShieldSVC有个kwsmain,这个就是金山网盾的启动程序,只要锁定主页,你就是重做系统也没用,解决方法很简单,双击kwsmain,打开网盾后,在锁定主页这个栏里输入你要的主页,以后不管2548,还是2549什么的都没法篡改我们的主页了。如果这个方法不行,请使用下文介绍的。个人怀疑金山网盾可能被别人恶意利用了。
近期公司的办公电脑不知道被装了什么软件,IE主页被恶意修改成了www .2548. cn网站,刚开始以为只是桌面的IE快捷方式属性里面添加了该网址,然后找到“C:\Program Files\Internet Explorer”目录里面直接打开IE浏览器,却依旧显示的是该恶意网址。之后打开注册表,在里面搜索所有“Star Page”的键值全部改成空白页about:blank属性,从新打开IE浏览器还是没有任何效果。
后来用工具wsyscheck检测到一个叫KSWebShield.exe的陌生进程,安装在c:\windows\文件夹里面,理论上第三方软件不会把默认的安装路径设到windows这个文件夹里。最后经证实现在的预想是正确的,果然是这个文件导致IE主页出现问题。
解决步骤:
1、按组合键Ctrl+Alt+Delete调出任务管理器,查看“进程”中确实有KSWebShield.exe,右击它选择“打开所在目录”,打开相应文件夹并记下它的位置一会好删除改文件夹。你要是不相信篡改主页的就是它,你可以在C盘里查找kws.ini,并点击右击的打开方式,选择用记事本打开,打开后之后看看里面的内容,大概在第4或者5行左右赫然写着www.2548.cn,是不是想立即删除它呢,不过先别急,一会我们在删它,因为它还有相关的文件会继续修改IE浏览器主题,等出它的相关文件以后再删除它。
2、结束任务管理器“进程”中的KSWebShield.exe。
3、清除注册表。按组合键Win+R,并输入regedit以打开注册表,Ctrl+F查找,并输入查找条件为Kingsoft(如果你的计算机安装有金山的软件,请加以区别),找到含Kingsoft的就删除它,并再次Ctrl+F查找,并输入查找条件为Kingsoft,找到含Kingsoft的就删除它,直到最后提示“已搜索完注册表”。其中确实看到有一个类似这样的值: rd /s /q C:\Program Files\KingSoft的项。4、删除文件。打开我的电脑,打开C盘,按Ctrl+F查找,输入Kingsoft搜索。选中查找到的结果,按Shift+Delete删除它,如果按Delete删除那么请清空回收站。再查找一遍,没了。
5、重启。结果启动没一会就卡死了,长按电源开关关机,奇怪的是关机时会看到以窗口含有http文字,居然在自动访问网络,无语了……
6、再开机,这时就能启动了。可是,启动后在按Ctrl+Alt+Delete调出任务管理器,按下K,进程里KSWebShield.exe还在,右击KSWebShield.exe选择打开所在目录。结束KSWebShield.exe进程。
7、再到C盘查找kws.ini文件,右击》用记事本打开,可是你会发现它和以前不一样了,只有3行文字了,并且没有看到www.2548.cn了。现在打开IE浏览器看看,主页已经修复了。
另外,新建一个记事本并复制以下文字到记事本里,然后另保存为IE.reg,最后双击运行它一般可以修复IE,但是,像上面的情况,如果没有干掉KSWebShield.exe的进程那么它又会从新修改你的IE主页的。
Windows Registry Editor Version 5.00
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”about:blank”
“Search Bar”=”about:blank”
“Search Page”=”about:blank”
“First Home Page”=”about:blank”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
“Default_Page_URL”=”about:blank”
“SearchAssistant”=”about:blank”
“Default_Search_Url”=”about:blank”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
“SearchAssistant”=”about:blank”
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Search Page”=”about:blank”
“Search Bar”=”about:blank”
“Start Page”=”about:blank”
“Default_Page_URL”=”about:blank”
“Default_Search_Url”=”about:blank”
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
“SearchAssistant”=”about:blank”
[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@=”\”C:\\Program Files\\Internet Explorer\\iexplore.exe\” about:blank”
文章如转载,请注明转载自:http://www.5iadmin.com/post/513.html
- 相关文章:
IE首页被修改成www.go2000.com的解决办法 (2010-4-8 16:8:15)
请IE首页被修改成www.go2000.com的用户联系我 (2010-3-29 9:9:21)
彻底清除桌面恶意图标 (2010-3-20 14:36:15)
1.桌面网页图标不能删除- http://www.586dh.com桌面网页图标 不能删除admin 于 2010-4-12 20:23:04 回复试试http://www.cnking.org/post/514.html
- 2010-4-12 18:14:06 回复该留言
- 2.小龍
- 請問我可以把您的文章放到我的無名上嗎?
我會註明出處!!admin 于 2010-4-13 19:30:57 回复只要注明出处,完全可以,这也是对我的一种肯定。 - 2010-4-13 19:24:41 回复该留言
- 5.daniel
- 楼主的办法真管用,用FixIE_Plus.rar把可恶的586dh给灭了,但是有个后遗症,此恶插件创建的IE图标是不见了,但是桌面留下了个“搜索结果”的图标,而且点击右键只会出现一条“创建快捷方式”,什么属性啊删除啊都没有,这个东西有什么办法可以解决啊?膜拜ing……
- 2010-4-14 10:11:13 回复该留言
- 6.walkyman
- 分析不错,确实有效。
只要关掉KSWebShield.exe,在C:\document and settings\all users\Applications Data\下找到KingSoft文件夹里的kws.ini,把里面有关2548的内容都删掉,就可以了。
当然,还要在IE选项里把主页设回到你所希望的。
至于金山本身可以不用删除的,也许还能避免的重启后的麻烦。
楼主的发现很英明,赞!!!admin 于 2010-4-19 7:58:33 回复能发现kws.ini这个文件和路径,你的分析也很不错 - 2010-4-18 23:26:27 回复该留言
- 9.push
- 我的网页也被改为2548,但是我没有用过金山的东西,所以上面的方法不好用啊
而且我中了这个病毒以后下载的所有杀毒软件都不可以用,在线杀毒或者打开和杀毒有过的论坛都会被自动转到百度或者雅虎
我用u盘拷了360,瑞星也不能用,这个如何解决啊admin 于 2010-4-27 20:17:34 回复进程中有没有KSWebShield.exe?kk 于 2010-5-1 0:11:13 回复me没有找到那进程 - 2010-4-27 18:36:18 回复该留言
- 10.MM
- 你好,我的电脑也是中了2548的病毒,可是我找不到你说的那个文件,而且电脑现在也进不了安全模式,不能杀毒,不能杀木马,我重装了系统也是无济于事,很伤脑筋啊,现在快要考试了,网上的课程总没法一直正常听,请高手帮帮忙。admin 于 2010-5-2 15:14:29 回复我觉得你不光是ie被劫持了,可能电脑还有其他病毒,如果仅仅中了2548病毒,不会像你说的那样的。
- 2010-5-2 7:28:49 回复该留言
发表评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
