开心技术乐园 » IE

『原创』删除2345.com主页 – 看看2345是如何植入系统的

野球小子 — Fri, 02 Dec 2011 08:01:05 +0000

　　好像是今年十一的时候，我去姐姐玩，在她家电脑上网，当时就发现她家的IE主页被锁定在http://www.v2233.com/y.htm。我说锁定也就是不管如何设置“Internet选项”里的主页，都是没有用的。反正那时也闲着，就打算干掉它。好久没有处理流氓软件程序了，一时都不知道怎么搞，呵呵…一开始以为很简单的，就去搜索了注册表，搜索关键字就是“2345”，居然搜遍了都没有找到！难道是有点技术含量的？太好了！我一下子来了兴趣。当然有可能是URL编码了，所以会找不到。

　　还是从基本的入手，检查注册表的IE相关键值。不料就发现了：

[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" http://www.v2233.com/y.htm"

　　马上打开http://www.v2233.com/y.htm看看，果然自动跳转到了http://www.v2233.com/y.htm，这就对了！分析y.html的源代码，如下：

游戏369导航

　　直接修改注册表，删除后面的http://www.v2233.com/y.htm就解决问题了。所以其实没什么技术含量，写这篇文章只是想分享一下这种比较巧妙的思路，还真不错，至少它屏蔽了注册表里的关键词，转而采用HTML跳转的方式来达到隐藏的目的。

桌面IE图标不见了？找回桌面IE的绝妙方法！

野球小子 — Wed, 16 Nov 2011 13:57:34 +0000

　　新装的Windows XP SP3是不是没有桌面IE图标？还有包括Windows 7也一样，忘了是从哪个版本开始，微软已经取消了桌面IE，原因就是涉及到了浏览器垄断的敏感话题，认为这样的做法是捆绑行为，所以……我们也应该理解。

　　当然也不只是新装系统的问题，很多时候我们操作不当或者电脑中毒也有可能造成桌面IE图标丢失，如何找回呢？最简单的方法，去C:\Program Files\Internet Explorer拉个快捷方式到桌面，不好意思，这里不讨论IE快捷方式，而是纯正的IE桌面程序，右击看“属性”就知道两者明显的区别了。很多人都知道如果桌面IE图标不见了，就右击桌面点“属性”，切换到“桌面”选项卡，点“自定义桌面”，然后勾选“Internet Explorer”，可是很遗憾，现在已经没有这个选项了，如下图：

　　这里提供5种非常绝妙的解决办法。

方法一、打开“我的电脑”，然后点击“向上”按钮，发现了什么了？居然有IE！可怜的微软居然把它藏在这里！不用多说，直接拉在桌面上！很简单吧？

方法二、开始-运行，中输入以下命令，确定后，刷新桌面即可。

cmd /k reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel" /v {871C5380-42A0-1069-A2EA-08002B30309D} /d 00000000 /t REG_DWORD /f

如果是经典桌面主题，再用下句，确定后，再次刷新桌面。

cmd /k reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu" /v {871C5380-42A0-1069-A2EA-08002B30309D} /d 00000000 /t REG_DWORD /f

方法三、桌面空白处—属性—桌面—自定义桌面—桌面图标，然后按一下键盘上的I或者ALT+I，最后“确定”，桌面IE图标居然找回来！这招很神奇，不知道是谁发明的！后来我测试了，其实原理很简单，这里不讨论了。

方法四、依次展开注册表：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel

当Windows使用经典主题时，则应为：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu

如果不存在相应分支，那么就创建一下创建名为“{871C5380-42A0-1069-A2EA-08002B30309D}”的DWORD(32位)注册表项将其值修改为0即可。

也可以保存以下代码为注册表文件，双击导入，刷新桌面即可。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
"{871C5380-42A0-1069-A2EA-08002B30309D}"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
"{871C5380-42A0-1069-A2EA-08002B30309D}"=dword:00000000

方法五、新建一文件夹（记住是文件夹），然后取名为“Internet Explorer.{871C5380-42A0-1069-A2EA-08002B30309D}”，这时还是文件夹，但当你把它拖到桌面上后你会神奇地发现，Internet Explorer回来了！

　　不得不佩服其实Windows真的很奇妙，很多功能是隐藏的，却是真实存在的，就看你怎么去发现。

早上帮以前同学解决了一个IE问题，可以参考下

野球小子 — Wed, 07 Sep 2011 06:57:55 +0000

日期:2011-09-06
木子二厶 10:54:41
在不？
—————————-
日期:2011-09-07
10:58:50
木子二厶给您发送了一个窗口抖动。
野球小子 11:04:22
在了
木子二厶 11:03:51
[自动回复]您好，我现在有事不在，一会再和您联系。
野球小子 11:04:31
不好意思，昨天一天在忙
木子二厶 11:03:59
[自动回复]您好，我现在有事不在，一会再和您联系。
野球小子 11:04:32
怎么说
木子二厶 11:04:00
[自动回复]您好，我现在有事不在，一会再和您联系。
木子二厶 11:06:59
我有个问题
野球小子 11:07:46
对了，你叫什么名字我一直没有备注
木子二厶 11:07:29
就是我的电脑只要是要认证的网页都打不开
木子二厶 11:07:49
O(∩_∩)O~，杜琳娜寝室的，李云云
野球小子 11:10:24
知道的哦
野球小子 11:10:39
要认证的网页是什么网页
野球小子 11:10:41
比如
李云云 11:10:12
网银的网易
李云云 11:10:22
连qq空间都进不去
野球小子 11:15:11
不会吧
野球小子 11:15:12
显示什么
野球小子 11:15:16
截图给我
李云云 11:17:42
他就是进不去
李云云 11:18:00
空白的页面，什么都没有
李云云 11:18:40
我估计是哪里的设置问题吧？
野球小子 11:19:22
你禁用了ACTIVEX控件了
野球小子 11:19:27
这样
野球小子 11:19:30
等下
野球小子 11:19:43

野球小子 11:19:47

野球小子 11:19:53
最后一个按钮
野球小子 11:20:03

野球小子 11:20:10
这个也重置
李云云 11:19:33
恩，我试试
野球小子 11:22:05
嗯，好了后重启IE
李云云 11:21:28
哦n
李云云 11:27:03
恩，可以了
李云云 11:27:19
我这个问题和别人说了，他们就让我重装电脑
李云云 11:27:34
可是我是财务的电脑不能重装的，谢谢你啊
野球小子 11:30:38
呵呵，不客气，解决了就好

IE中无法打开Word、Execl等Office文档的解决方法

野球小子 — Thu, 15 Jul 2010 07:43:22 +0000

　　昨天上午去陆处的办公室说是他的电脑上不了工商内部的FTP，我看了，上FTP没有问题，而是FTP上的Word、Execl等Office文档无法直接打开。双击一个Word或Execl文档，会打开一个IE新窗口，然后就卡死在那里，非得用杀进程的方法结束之。而下载下来打开，肯定是没有问题的，但是领导不喜欢这样，他们喜欢直接打开，以前单位暑经理也遇到过类似的问题。其实在IE中直接打开，也是一个先下载后打开的过程。

　　其实如果仔细观察，你会发现在网页里直接点“打开”Office文档，分两种情况。一是会嵌入在IE网页里打开，这种叫该文件被已关联的程序以OLE方式开启在IE窗口中(如上图)；二是就是调用本地的Office程序以单独的Office文档打开。为什么有的时候是第一种情况有的时候是第二种情况呢？搜了一下，其实是可以设置的。

　　因为我是Windows 7，我用虚拟机XP进行测试。我发现在虚拟机测试用OLE方式在IE里打开Word文档时，也会卡一下，但是等一下就打开了。我想到之所以会卡一会可能是因为电脑配置的问题，的确，陆处的电脑内存很小，会不会是因为这个原因才会在那个关节卡住？最后我没有得到验证，因为他当时忙没有让我再继续弄。但是我自己测试了把它改成以单独的Office程序打开，而不是嵌入在网页打开，这样打开就没有了卡住的感觉。因为这样是一个典型的“下载后打开“过程。具体设置如下：

　　打开文件夹选项，文件类型，找到DOC（以Word文档为例）：

　　选中DOC，点“高级”，反勾选“在同一窗口中浏览”：

IE浏览器无法显示PNG或验证码图片的解决方法

野球小子 — Wed, 07 Jul 2010 03:32:57 +0000

　　昨天下午在公司，小郑的电脑出现了一个问题，说是公司供货平台网站（ECShop）的登陆后台验证码无法显示。过去看了下，的确，不单是验证码，旁边的LOGO图片也显示不了。但是很明显，验证码也是一张图片。我在自己电脑上试了，是可以正常显示的。所以问题不在服务端，在于她本机。我把IE重置，把一些乱七八糟的插件屏蔽，没有用。后来我发现打开Google，它的LOGO图片也无法显示，和登陆后台的图片一样，都是PNG格式的。其它格式的图片显示正常。总结一下，她的IE浏览器无法显示PNG图片。

　　网上搜索，马上得到了答案。网上也有人碰到这个问题说是安装了Flash CS4后出现的，我问她是否也安装过这个软件，她说是的。好了，起因确定，解决方法也就有了。找一台能显示的电脑，导出注册表项[HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/png] ，再导入出问题的计算机，重启IE即可。如果一时找不到正常的电脑也没关系，我已经整理出来了，保存为Reg文件导入。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/png]
"Extension"=".png"
"Image Filter CLSID"="{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750}"

[HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/png\Bits]
"0"=hex:08,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,89,50,4e,47,0d,0a,1a,0a

WordPress和IE8的兼容性 – 编辑发表文章光标会跳上去的解决方法

野球小子 — Tue, 25 May 2010 09:25:14 +0000

　　其实这个问题打从我换Windows 7变成IE8后就发现了，就是在Wordpress后台编辑发表文章的时候，光标老是自已跳到最上面去，害得我又要移下来重新寻找刚才正在编辑的地方。这个问题我想用ＷordPress和IE8的朋友一定也都遇到了。我稍微查了一下，这个问题影响Wordpress多个版本，包括2.8, 2.8.1, 2.8.2, 2.9, 2.9.1and 2.9.2，最新的3.0版本不得而知。本来我也不想多理踩它的，毕竟是个小问题嘛，麻烦一点就麻烦点喽！不过最近我在大批量地修改编辑以前的文章，老是这样真的很烦！！

　　所以我决定解决它。之所以会这样就是WordPress和IE8的兼容性问题。解决方法连我自己都没想到，居然这么简单！我就轻轻地点击一下IE8的“兼容性视图”按钮，好了，问题就这样解决了。再去编辑修改文章，顺畅多了！希望此文帮助了那些遇到同样问题的朋友们。

『原创』打开网站提示下载HTML网页一IE无法解析HTML的解决方法

野球小子 — Thu, 11 Mar 2010 07:51:17 +0000

　　这两天早上都跟屠经理在工商工作，昨天早上她的电脑遇到这么一个问题，就是打开任何网站都会提示下载HTML网页。这是怎么回事呢？道理很简单，就是因为IE浏览器它无法解析HTML，所以它才会弹出窗口提示下载HTML网页，不仅仅是HTML，还有ASP、PHP、JSP等也一样。其实这不是第一次遇到过了，上次朱姐的电脑也出现这个问题。当时还以为是中了病毒，拷了她一个Firefox浏览器安装后就正常了。但是后来因为涉及到工商银行系统的东西，必须要用IE安装插件，所以最后还是重装了系统。

　　我突然想起前一天，临走之前她的电脑还在用360打补丁的。我马上问她是不是昨天关电脑的时候补丁还没打完的，她说是的。就这对了，不是病毒的问题，而是在打补丁的时候突然关机引起的。打补丁的时候突然关机会引起很多系统问题的，这一点一定要记住。

　　好了，已经清楚了问题的根源，下面讨论怎么解决。其实IE无法解析各种网页文件，一般来说是由于IE的动态链接库文件受损或丢失造成的。就像上面我说的打补丁时突然关机。我的方法是重新注册一下以下的DLL，最好一个一个手工操作，看看返回的结果是否注册成功。

regsvr32 shell32.dll
regsvr32 actxprxy.dll
regsvr32 shdocvw.dll
regsvr32 urlmon.dll
regsvr32 msjava.dll
regsvr32 browseui.dll
regsvr32 oleaut32.dll
regsvr32 mshtml.dll

　　我一个一个操作下来，都成功的。直到最后一个mshtml.dll，我运行命令后，居然没有返回结果。这时我打开IE，发现还是弹出窗口提示下载HTML。我去网上下载XP的原版mshtml.dll，拷入system32文件夹。这时提示mshtml.dll已存在，但是大小不一样，我当然选择覆盖。再次注册，OK了，返回注册成功提示。说明原来存在的那个mshtml.dll是受损的，也说明mshtml.dll在这个问题上很关键。其实看它的名字就知道了，mshtml-microsoft html。

　　再次打开IE检查，一切正常了。希望对于遇到同样问题的朋友们有所帮助。

『原创』IE主页被修改？通过行为分析完全清除go2000

野球小子 — Tue, 02 Feb 2010 13:42:55 +0000

　　最近很多电脑都出现IE主页被强制绑定的情况，就像我前几天写的删除桌面恶意的IE图标776la.com。关于go2000.com\go2000.cn\go2000.cc网址导航这个流氓其实我在暑假的时候就写过一篇go2000.com的清除方法的文章，但是当时参考的是人家的处理方法，因为我自己没有遇到过，所以没有病毒样本进行分析。

　　虽然这个东西出来已经很久了，可是发现网上还是有很多人被go2000主页困扰，看来的确很顽固！于是我在网上搜索go2000的样本，从http://soft.go2000.cn/go2000.exe下载到了一个官方的主页设置工具，在虚拟机里进行了试验。通过我对它的行为分析，截取到了它对IE主页的注册表修改：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”http://www.go2000.com”

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
“”=”C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
“”=”C:\\Program Files\\Internet Explorer\\iexplore.exe http://www.go2000.com”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
“{871C5380-42A0-1069-A2EA-08002B30309D}”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
“{871C5380-42A0-1069-A2EA-08002B30309D}”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}]
“”=”"

　　我们先不管这个，现在打开IE，发现主页已经变成了go2000.com。在Internet选项里面修改主页，再次打开的时候还是go2000.com。还有快速启动栏里的IE打开也是go2000.com。

　　好了，问题已经出来了，怎么清除？其实很简单了，因为我上面已经监视到了它对注册表的修改，所以只要把上面的改回去就可以了。怎么改不用我多说了吧？这里我要提醒一下，在修改[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]的Start Page时提示无法编辑，是程序对这个键值设置了权限，修改成Everyone完全控制即可。最后，不要忘了右击快速启动栏里的IE快捷方式，在“目标”里去除go2000.com的网址链接。

　　这样虽然主页被完全修改回来了，但是我觉得很多网友遇到并没有那么简单。我也怀疑我拿到的并不是真正厉害的go2000恶意主页捆绑样本。如果谁有，还望发我一份。

极光IE dom 0day漏洞利用工具+官方补丁下载+在线测试

野球小子 — Mon, 01 Feb 2010 08:58:38 +0000

　　这个IE 0day出来有好几天了，好像在上个月16号黑客就已经公布了极光零点漏洞(IE dom 0day)的源代码，当然随之而来是此漏洞的利用工具或生成器。由于当时微软还没发布补丁，而此漏洞几乎是影响Windows 2000及之后所有的Windows版本和IE浏览器，所以这段时间网上传播得很厉害。

　　刚刚我也下载了IE dom 0day的漏洞利用工具进行了测试。打开IE dom 0day生成器修正版，

　　填入测试木马地址生成一下就出现了mm.GIF和mm.htm两个文件。我在我的Windows Server 2003+IE7测试了一下，结果IE报错，并没有运行测试的木马程序。后来我在虚拟机里XP+IE6环境下测试，成功运行木马：
　　

　　我把漏洞利用文件上传到我的网站，大家可以测试一下，看看自已的电脑是否存在此漏洞，如果存在，请马上打补丁。

　　极光零点漏洞(IE dom 0day)在线测试地址点击进入。

　　极光零点漏洞(IE dom 0day)微软官方补丁下载，编号为KB978207，点击进入之后，请先选择好与您相对应的操作系统及IE版本，然后下载安装。经我测试，安装过后，木马没有再运行，漏洞完全补上。

关闭IE7烦人的”当前安全设置会使计算机有风险”

野球小子 — Mon, 18 Jan 2010 07:41:53 +0000

　　
　　前段时间，公司的模拟交易平台需要每个人在登陆的时候设置IE的自定义级别，启用其中的“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”。好了，启用之后，每次打开IE，都会提示“当前安全设置会使计算机有风险。请单击这里更改安全设置”。我想你一定也遇到过这样的问题吧？因为只要修改一处IE7的安全设置，就会出现这样的提示，很烦人！IE6是没有的，IE7和IE8都会有。

　　怎么解决呢？一开始我使劲在IE设置上寻找关闭选项，没有找到。后来我发现原来可以通过组策略来关闭，打开gpedit.msc－用户配置－管理模块－Ｗindows Components－Internet Explorer，发现右边有个“关闭安全设置检查功能”，双击将它启用即可！
　　