前几天在杂志上看到一篇杀毒的文章，说是作者的电脑IE主页被恶意程序修改了，被锁定为了www.go2000.com。在IE里修改没有用，不然也就不说是被恶意程序修改了呵呵～

　　来看看他的处理过程。先是打开IE快捷方式属性，删除iexplore.exe后面的www.go2000.com。打开IE，主页还是www.go2000.com。然后打开注册表，搜索go2000.com，把搜索到的键全部删除。这下主页应该回来了吧？可以打开IE，主页还是www.go2000.com。后来作者是用SReng这款工具扫描出一个经过编码的网址：http://%77%77%77%2E%67%6F%32%30%30%30%2E%63%6F%6D。把这个删除了，主页就被更改回来了。这就是为什么删除了注册表所有的go2000.com都无法将主页修改回来，也是我要讲的重点。我觉得这是种比较巧妙的方法，这是个经过URL编码的网址，其实就是www.go2000.com的编码。它使中毒者无法在注册表里搜索到网址，但是网址却可以被正常打开。以后大家在外理IE主页被锁住的问题上一定要注册啦！！

　　那个经URL编码的网址具体位置为：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ABCDEfef-1234-2134-7980-213421423401}]
“ButtonText”=”主页”
“CLSID”=”{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}”
“Default Visible”=”yes”
“Exec”=”http://%77%77%77%2E%67%6F%32%30%30%30%2E%63%6F%6D”
“HotIcon”=”C:\\WINDOWS\\system32\\HOME.ico”
“Icon”=”C:\\WINDOWS\\system32\\HOME.ico”
“MenuStatusBar”=”我的主页”
“MenuText”=”我的主页”

　　其实用我的Nohacker扫描，也可以轻松揪出这个被编码了的URL网址（如下图）。