獵殺劫持IE的元兇——頑固的英文惡意網頁

時常有人問起IE遭到了某英文惡意網頁的劫持，如開啟IE新視窗就自動連接到356563.net，或者自動連接到http://n * vd.us然後又轉向http://searchpage.* */、首頁被更改為國外一搜尋引擎、IE首頁設為“ about:blank”空白頁開啟後卻變成“Search for”網頁，註冊表中修複無效,使用不少IE修複軟體都沒有效果。最為猖獗的是“著名”的劫持瀏覽器的惡意網站家族CoolWebSearch，CoolWebSearch及其變種有百十種之多，而且不斷湧現新的變種。大多數頑固的、難以清除的英文惡意網頁都是出自CoolWebSearch家族。遭CoolWebSearch及其變種劫持的瀏覽器可能出現以下癥狀：

　　1、IE首頁/搜尋網頁被設為一國外搜尋引擎，如有的惡意網頁含有"Search for"；
　　2、當輸入無效網址或網站不能訪問時，IE被重新導向到國外惡意網頁；
　　3、IE首頁設為“about:blank”空白頁，開啟卻變成“Search for”網頁；
　　4、訪問google時被重新導向到該惡意網頁；
　　5、首頁及搜尋網頁設定無法修改，或修改後很快又被劫持；
　　6、自動添加受信任網站；
　　7、收藏夾裡自動反覆被添加成人網站；
　　8、輸入字元時IE速度嚴重減慢；
　　9、Internet選項出現不能更改或隱藏的選項；
　　10、手工修改註冊表或使用通常的IE修複工具不能修複、修複後很快又被劫持或者電腦重啟後IE又遭劫持。   
　　
　　我們可以在HijackThis的作者Merijn的網站上找到這些惡意網頁的地址清單：http://www.merijn.org/cwschronicles.html
　　如果你的IE不慎被國外惡意網頁劫持了，可以去查查，看看是不是CoolWebSearch惡意網站家族的變種。本帖附錄給出了最新的CoolWebSearch網址列表,你可以去查查。

　　下面介紹中了這類國外惡意網頁的清除方法：

　　一、CoolWeb Shredder(CoolWeb粉碎機)

　　中了CoolWebSearch惡意網站家族的變種，可以用CoolWeb粉碎機來清除，這是款完全免費的工具,而且可以線上升級,該工具是HijackThis的作者Merijn的另一個作品。不但徹底可以清除CoolWebSearch及其變種，對付其它惡意網頁代碼、小廣告也很有效。最新的版本是2.0,可以查殺幾百種惡意網頁。雖然是英文介面，但使用非常簡單。

　　CoolWeb粉碎機下載:
　
　　點擊瀏覽該檔案　（從這兒下載後需要解壓）

　　Merijn首頁下載

　　使用方法：

　　1、下載後得到安裝檔案CWSInstall.exe，雙擊出現，點“I AGREE”,接受協議自動安裝到C:\Program Files\InterMute\SpySubtract\下，並在案頭上建立捷徑CWShredder。CoolWeb Shredder是個綠色軟體，卸載時直接刪除C:\Program Files\下的InterMute檔案夾即可。
   　　
　　
　　　　　　　　　　　　　　　圖一

　　2、安裝完成後，CWShredder自動運行，出現，一共四個選項：Scan only(僅檢查)、Check for update(檢查更新)、Make Report(製作報告)、Fix->（修複）。
         
　　
　　　　　　　　　　　　　　　圖二

　　3、由於CoolWebSearch不斷產生變種，所以查殺前請先點擊“Check for update”進行線上升級，如果沒有新的更新，中間的按鈕“Download and open the update”會置灰，如果有新的更新，則該按鈕會啟用，你可以按下它下載升級檔案。CWShredder會關閉並自動更新。更新完畢，你需要重新雙擊啟動CWShredder。
        
　　
　　　　　　　　　　　　　圖三（有更新）

        
　　
　　　　　　　　　　　　圖四（正在下載更新）

　　這是偶昨晚剛從Merijn首頁下載的最新版本，所有沒有新的更新。如：
        
　　
　　　　　　　　　　　　圖五（沒有新的更新）

　　4、點擊右下角的“Fix->”按鈕進入修複介面。這時跳出個視窗提示你“現在請關掉瀏覽器口、檔案夾視窗以及記事本等所有能關閉的程式視窗，以方便CWShredder修複”。如果有瀏覽器視窗開啟著，則CoolWebSearch很難被清除掉。確認關閉了這些視窗後，點擊“確定”，即可開始清除CoolWebSearch及其變種。
        
　　
                 　　　　　　　　　　圖六

　　5、如果發現CoolWebSearch或其變種，會提示清除。CWShredder工作結束後，顯示“done!”。
        
　　
　　　　　　　　　　　　　圖七（正在檢查）

        
　　
　　　　　　　　　　　　　圖八（修複完畢）

　　6、點擊Next，進入下一步。有一些要求訪問網站和製作報告的建議，都是英文網站。我們點“Exit”退出。
        
　　
　　　　　　　　　　　　　　　圖九

　　7、如果使用CoolWebSearch提示發現問題並修複，重新啟動後卻問題依舊。對於這種情況，建議進入安全模式，再次使用CWShredder修複，修複後清空IE臨時檔案，方法：internet選項→點擊“internet 臨時檔案”下的“刪除檔案”→勾選“刪除所有離線內容”，點“確定”。清除完畢後建議給系統打全所有安全補丁。

　　二、COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL專殺工具

　　如果使用CWShredder時，一開啟CWShredder，其視窗一閃就自動關閉，可能是遇到了一個通過阻撓反劫持軟體的運行來阻止使用者清除自己的CoolWebSearch變種。這時就要請該變種的專門清除工具COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL出馬了。

　　　　　　
　　COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL專殺工具下載： 
　　點擊瀏覽該檔案  (需要解壓)

　　使用時請關閉所有IE和Windows的“資源管理員”視窗，然後再運行該工具，即可清除。

　　三、HijackThis工具

　　如果中了最新變種使用上述兩個工具都無效，或者是中了非CoolWebSearch及其變種的惡意網頁，那隻有請出著名的HijackThis，該工具對於惡意網頁代碼尤其有效，對於尋找系統內的木馬/蠕蟲也有很好的輔助作用！不但適用國外的惡意網頁，也同樣適用於國內的惡意網頁。如果用尋常工具應付不了，建議使用該工具清除或輔助清除！！

           
　　
　　　　　　　　　　　　　　　　　　　　　　圖十

　　偶和聞道長安版主都發過介紹HijackThis的文章，這是個很熱門的工具，各大論壇和瑞星首頁都有它的介紹。該工具雖然功能強大，使用方便，但一來由於其檢查日誌需要仔細分析，可能有的會員嫌麻煩；二來其日誌涉及Hosts檔案、BHO（瀏覽器的輔助模組）、自啟動項、註冊表索引值、IE外掛程式、ActiveX對象、IERESET.INF檔案等等名詞，剛入門菜鳥會員可能會覺得頭暈。

　　不過，如果你不想永遠是菜鳥的話，建議你學習使用HijackThis，因為讀懂了HijackThis的Log記錄檔，你就算半個大蝦了！^_^如果你不想成為大蝦，也建議你使用HijackThis，因為你可以用HijackThis檢查後點“儲存日誌”，儲存後Log記錄檔會自動開啟，然後將所有內容帖到論壇，讓大蝦們協助你分析問題。有磁自啟動項、進程、IE外掛程式、ActiveX對象、註冊表關鍵索引值等等在這個日誌中都有！不僅適應於IE修複，所有涉及自啟動項、進程、IE外掛程式、ActiveX對象等故障的問題都適用！這比你費神又費力的長篇大論一氣還讓大蝦們丈二和尚摸不著頭越聽越糊塗，要明了得多！有效多！！呵呵……
　　好了，廢話少說，言歸正傳。關於HijackThis，偶幾個月以前就發過其下載及教程的文章，就不重複發了，在這裡只帖出其連結：
    HijackThis簡明教程及漢化版下載： http://bbs.cfanclub.net/dispbbs.asp?boardID=2&ID=126265

　　有一點請注意，使用HijackThis前，同樣要關閉所有的其它程式視窗，包括資源管理員視窗！！

　　強烈建議會員們學習使用HijackThis！！！