最近很多电脑都出现IE主页被强制绑定的情况，就像我前几天写的删除桌面恶意的IE图标776la.com。关于go2000.com\go2000.cn\go2000.cc网址导航这个流氓其实我在暑假的时候就写过一篇go2000.com的清除方法的文章，但是当时参考的是人家的处理方法，因为我自己没有遇到过，所以没有病毒样本进行分析。

　　虽然这个东西出来已经很久了，可是发现网上还是有很多人被go2000主页困扰，看来的确很顽固！于是我在网上搜索go2000的样本，从http://soft.go2000.cn/go2000.exe下载到了一个官方的主页设置工具，在虚拟机里进行了试验。通过我对它的行为分析，截取到了它对IE主页的注册表修改：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”http://www.go2000.com”

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
“”=”C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
“”=”C:\\Program Files\\Internet Explorer\\iexplore.exe http://www.go2000.com”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
“{871C5380-42A0-1069-A2EA-08002B30309D}”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
“{871C5380-42A0-1069-A2EA-08002B30309D}”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}]
“”=”"

　　我们先不管这个，现在打开IE，发现主页已经变成了go2000.com。在Internet选项里面修改主页，再次打开的时候还是go2000.com。还有快速启动栏里的IE打开也是go2000.com。

　　好了，问题已经出来了，怎么清除？其实很简单了，因为我上面已经监视到了它对注册表的修改，所以只要把上面的改回去就可以了。怎么改不用我多说了吧？这里我要提醒一下，在修改[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]的Start Page时提示无法编辑，是程序对这个键值设置了权限，修改成Everyone完全控制即可。最后，不要忘了右击快速启动栏里的IE快捷方式，在“目标”里去除go2000.com的网址链接。

　　这样虽然主页被完全修改回来了，但是我觉得很多网友遇到并没有那么简单。我也怀疑我拿到的并不是真正厉害的go2000恶意主页捆绑样本。如果谁有，还望发我一份。