其实如果仔细观察，你会发现在网页里直接点“打开”Office文档，分两种情况。一是会嵌入在IE网页里打开，这种叫该文件被已关联的程序以OLE方式开启在IE窗口中(如上图)；二是就是调用本地的Office程序以单独的Office文档打开。为什么有的时候是第一种情况有的时候是第二种情况呢？搜了一下，其实是可以设置的。

　　因为我是Windows 7，我用虚拟机XP进行测试。我发现在虚拟机测试用OLE方式在IE里打开Word文档时，也会卡一下，但是等一下就打开了。我想到之所以会卡一会可能是因为电脑配置的问题，的确，陆处的电脑内存很小，会不会是因为这个原因才会在那个关节卡住？最后我没有得到验证，因为他当时忙没有让我再继续弄。但是我自己测试了把它改成以单独的Office程序打开，而不是嵌入在网页打开，这样打开就没有了卡住的感觉。因为这样是一个典型的“下载后打开“过程。具体设置如下：

　　打开文件夹选项，文件类型，找到DOC（以Word文档为例）：

　　选中DOC，点“高级”，反勾选“在同一窗口中浏览”：

　　网上搜索，马上得到了答案。网上也有人碰到这个问题说是安装了Flash CS4后出现的，我问她是否也安装过这个软件，她说是的。好了，起因确定，解决方法也就有了。找一台能显示的电脑，导出注册表项[HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/png] ，再导入出问题的计算机，重启IE即可。如果一时找不到正常的电脑也没关系，我已经整理出来了，保存为Reg文件导入。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/png]
"Extension"=".png"
"Image Filter CLSID"="{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750}"

[HKEY_CLASSES_ROOT\MIME\Database\Content Type\image/png\Bits]
"0"=hex:08,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,89,50,4e,47,0d,0a,1a,0a

　　我突然想起前一天，临走之前她的电脑还在用360打补丁的。我马上问她是不是昨天关电脑的时候补丁还没打完的，她说是的。就这对了，不是病毒的问题，而是在打补丁的时候突然关机引起的。打补丁的时候突然关机会引起很多系统问题的，这一点一定要记住。

　　好了，已经清楚了问题的根源，下面讨论怎么解决。其实IE无法解析各种网页文件，一般来说是由于IE的动态链接库文件受损或丢失造成的。就像上面我说的打补丁时突然关机。我的方法是重新注册一下以下的DLL，最好一个一个手工操作，看看返回的结果是否注册成功。

regsvr32 shell32.dll
regsvr32 actxprxy.dll
regsvr32 shdocvw.dll
regsvr32 urlmon.dll
regsvr32 msjava.dll
regsvr32 browseui.dll
regsvr32 oleaut32.dll
regsvr32 mshtml.dll

　　我一个一个操作下来，都成功的。直到最后一个mshtml.dll，我运行命令后，居然没有返回结果。这时我打开IE，发现还是弹出窗口提示下载HTML。我去网上下载XP的原版mshtml.dll，拷入system32文件夹。这时提示mshtml.dll已存在，但是大小不一样，我当然选择覆盖。再次注册，OK了，返回注册成功提示。说明原来存在的那个mshtml.dll是受损的，也说明mshtml.dll在这个问题上很关键。其实看它的名字就知道了，mshtml-microsoft html。

　　再次打开IE检查，一切正常了。希望对于遇到同样问题的朋友们有所帮助。

　　虽然这个东西出来已经很久了，可是发现网上还是有很多人被go2000主页困扰，看来的确很顽固！于是我在网上搜索go2000的样本，从http://soft.go2000.cn/go2000.exe下载到了一个官方的主页设置工具，在虚拟机里进行了试验。通过我对它的行为分析，截取到了它对IE主页的注册表修改：

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”http://www.go2000.com”

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
“”=”C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
“”=”C:\\Program Files\\Internet Explorer\\iexplore.exe http://www.go2000.com”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
“{871C5380-42A0-1069-A2EA-08002B30309D}”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
“{871C5380-42A0-1069-A2EA-08002B30309D}”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}]
“”=”"

　　我们先不管这个，现在打开IE，发现主页已经变成了go2000.com。在Internet选项里面修改主页，再次打开的时候还是go2000.com。还有快速启动栏里的IE打开也是go2000.com。

　　好了，问题已经出来了，怎么清除？其实很简单了，因为我上面已经监视到了它对注册表的修改，所以只要把上面的改回去就可以了。怎么改不用我多说了吧？这里我要提醒一下，在修改[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]的Start Page时提示无法编辑，是程序对这个键值设置了权限，修改成Everyone完全控制即可。最后，不要忘了右击快速启动栏里的IE快捷方式，在“目标”里去除go2000.com的网址链接。

　　这样虽然主页被完全修改回来了，但是我觉得很多网友遇到并没有那么简单。我也怀疑我拿到的并不是真正厉害的go2000恶意主页捆绑样本。如果谁有，还望发我一份。

　　这个IE 0day出来有好几天了，好像在上个月16号黑客就已经公布了极光零点漏洞(IE dom 0day)的源代码，当然随之而来是此漏洞的利用工具或生成器。由于当时微软还没发布补丁，而此漏洞几乎是影响Windows 2000及之后所有的Windows版本和IE浏览器，所以这段时间网上传播得很厉害。

　　刚刚我也下载了IE dom 0day的漏洞利用工具进行了测试。打开IE dom 0day生成器修正版，

　　填入测试木马地址生成一下就出现了mm.GIF和mm.htm两个文件。我在我的Windows Server 2003+IE7测试了一下，结果IE报错，并没有运行测试的木马程序。后来我在虚拟机里XP+IE6环境下测试，成功运行木马：
　　

　　我把漏洞利用文件上传到我的网站，大家可以测试一下，看看自已的电脑是否存在此漏洞，如果存在，请马上打补丁。

　　极光零点漏洞(IE dom 0day)在线测试地址点击进入。

　　极光零点漏洞(IE dom 0day)微软官方补丁下载，编号为KB978207，点击进入之后，请先选择好与您相对应的操作系统及IE版本，然后下载安装。经我测试，安装过后，木马没有再运行，漏洞完全补上。

　　怎么解决呢？一开始我使劲在IE设置上寻找关闭选项，没有找到。后来我发现原来可以通过组策略来关闭，打开gpedit.msc－用户配置－管理模块－Ｗindows Components－Internet Explorer，发现右边有个“关闭安全设置检查功能”，双击将它启用即可！
　　

解决方法：

1.在”Internet选项”中将主页设置为空白页。

2.点击开始按钮，点“运行”，输入regedit ，展开注册表
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将其值
C:\Program Files\Internet Explorer\IEXPLORE.EXE “http://www.go2000.com”
后的 “http://www.go2000.com” 去掉。

3.展开注册表
HKEY_CLASSES_ROOT\http\shell\open\command
同样将其值
C:\Program Files\Internet Explorer\IEXPLORE.EXE “http://www.go2000.com”
后的 “http://www.go2000.com” 去掉。

4.展开注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除SoundMan值。

5.找到c:\windows\system32\dllcache下的 msconfig.exe 将其删除，然后从其它干净的系统中复制一个msconfig程序回来。（注意这一步要在”查看“中将”隐藏受保护的操作系统文件（推荐）“去掉，否则看不到这个文件 ）

6.删除各IE快捷方式中的”http://www.go2000.com” 后辍。

7.重启机器 就行了。

　　来看看他的处理过程。先是打开IE快捷方式属性，删除iexplore.exe后面的www.go2000.com。打开IE，主页还是www.go2000.com。然后打开注册表，搜索go2000.com，把搜索到的键全部删除。这下主页应该回来了吧？可以打开IE，主页还是www.go2000.com。后来作者是用SReng这款工具扫描出一个经过编码的网址：http://%77%77%77%2E%67%6F%32%30%30%30%2E%63%6F%6D。把这个删除了，主页就被更改回来了。这就是为什么删除了注册表所有的go2000.com都无法将主页修改回来，也是我要讲的重点。我觉得这是种比较巧妙的方法，这是个经过URL编码的网址，其实就是www.go2000.com的编码。它使中毒者无法在注册表里搜索到网址，但是网址却可以被正常打开。以后大家在外理IE主页被锁住的问题上一定要注册啦！！

　　那个经URL编码的网址具体位置为：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{ABCDEfef-1234-2134-7980-213421423401}]
“ButtonText”=”主页”
“CLSID”=”{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}”
“Default Visible”=”yes”
“Exec”=”http://%77%77%77%2E%67%6F%32%30%30%30%2E%63%6F%6D”
“HotIcon”=”C:\\WINDOWS\\system32\\HOME.ico”
“Icon”=”C:\\WINDOWS\\system32\\HOME.ico”
“MenuStatusBar”=”我的主页”
“MenuText”=”我的主页”

　　其实用我的Nohacker扫描，也可以轻松揪出这个被编码了的URL网址（如下图）。

　　用我的IE捆绑克星 V1.0进行检测，并且修复，

　　重起IE再看看，是不是还原得一干二净了？！

　　注：最好是在关闭IE的情况下用本程序进行检测并修复。

　　IE捆绑克星 V1.0 — 揪出并清理IE中的BHO、工具栏、工具菜单、额外按钮及IE额外右键菜单

　　点击下载IE捆绑克星V1.0

　　小站这段时间以来都好久没怎么更新，更没有我的原创技术文章或软件，其实不是我贪玩不搞技术了，是这段日子以来，从我鼻子手术这段日子以来，发生了不少事情，实在太忙顾不过来，对技术的追求从来没有停止过……