二百五

1,杀毒

虽说软件无法更改主页了,但是先用360把木马全杀掉,这个很容易,并不是很顽固的木马

2,注册表修改

这时你会发现,严重的问题来了,木马没了,但是仍然主页变不回来(我只是指的win7,其实这是一个权限的bug,在vista和xp下bug没有,所以360的顽固木马查杀就可解决问题),打开注册表你会惊奇的发现,在hkcm\software\microsoft\internet explorer\main 中的start page的键值是你要的主页,但是在hkcu(”U”)\software\microsoft\internet explorer\main中的startpage的键值确实被篡改了的

现在你一定想赶紧改掉这个键值吧,不过你还是放弃吧,因为无论你删除或者改名,或者修改都会失败的,因为病毒悄悄的把权限改掉了,这时有点常识的朋友可能会去尝试修改main主键的权限,你会很惊奇的发现,里面只有一个everyone用户,权限却是只有读取,当你尝试将完全控制打钩确定时,依旧失败,即使你想添加用户依旧失败….

这个问题就很严重了,不像winXP,我们可以用pe下的远程注册表或者softice,win7下太安全了,导致我们完全没有办法了,无论你进入安全模式与否,使用管理员身份运行与否,结果都是一样的

3,解决方法

这里说下如何解决吧,我研究一个晚上终于找到毛病在哪了,注意查看注册表中其他键值的权限,你会发现,是不存在everyone这个用户的,我尝试在这些键值中加入everyone用户,结果是可行的,然后我进入刚才那个加入了everyone的主键的子键,也加入everyone用户,并且把该子键的其他用户删掉,期间提醒了,”继承关系”..这下我就明白了

原来是这样的,病毒先将everyone用户加入了main主键的上一级主键,也就是internet explorer主键,然后又将everyone用户加入了main主键,并且设定他只有读取权限,然后再把main主键中的其他用户删除,再把everyone用户设定继承关系,最后也就是产生bug的一步,它把internet explorer主键中的everyone 用户给删掉了…这样毛病就来了,main主键看似有一个everyone用户存在,但是实际上没有了继承关系,它已经废掉了,而且最早设置的权限只读….

我说到这里懂行的应该就明白了吧…权限丢失了,而且控制权没有了,唯一有权的人还是只读的

那么下面就阐述解决方法吧,其实很简单,我们逆向来做一下就行了,既然他删除了interner explorer的everyone用户导致了main主键的权限错误,那么我们就把它添加回去,做法很简单,在internet explorer主键的权限中重新手动加入everyone 用户,并且设置为完全控制,然后再次尝试修改main主键的权限,哈哈,奇迹出现了,可以修改了,我们把原来的用户加入进来,并且设置继承,然后再把万恶的everyone删掉(也可以不删除,只要你不怕任何人都可以看到你的main主键的配置),这下main主键中的所有数据就都可以修改了