2005-09-03
IE修复例子、IE问题集锦及上网助手报告分析介绍
版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://roverxiao.blogbus.com/logs/1408498.html
IE修复例子、IE问题集锦及上网助手报告分析介绍
关于www.ego4.com的问题
请参考http://zsbbs.3721.com/viewthread.php?tid=448586
关于爱虫的手动清除的问题
参考http://zsbbs.3721.com/viewthread.php?tid=437944
关于启动后无法显示桌面,出现英文提示的问题
这是一种“特洛伊变种病毒”,主要症状为:
机子无法设置桌面,桌面是一行系统警告:
securitywarning
A fatal error in IE has occured at 0028:c0011E36 in VXD VMM(01) + 00010E36 . Error was caused by Trojan-Spy.HTML.Smitfraud.c
*System can not function in normal mode.
please check your security settings.
*Scan your PC with any avaliable antivirus /spaware revover program to fix the problem.
机子处了无法设置桌面(设置桌面的地方没了,只有屏保)其他似乎一切都很正常
修复方法:
1)删除 "C:\\wp.exe",删除"C:\\wp.bmp"。(如果没有见到,就看看工具-文件夹选项-查看-选显示文件和文件夹选项)
2)删除注册表中 "wp.exe"的文件
3)删除注册表中[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]整个文件夹
关于连接网页自动跳转到www.pkpkpk.net的问题
正常出现这种情况,在导出的扫描报告中有下面的项目。
R00 - IE首页 - http://www.pkpkpk.net/,,
内容:http://www.pkpkpk.net/
安全等级:未知
O04 - 自动运行项(Run) - IExpleror,IExpleror,
相关文件:C:\WINNT\IExpleror.exe
内容:C:\WINNT\IExpleror.exe
安全等级:未知
处理方法是进入安全模式,用开始菜单中的IE修复专家-高级修复修复上面的项目,然后删除C:\WINNT\IExpleror.exe。(正确的IExplorer.exe程序存放的位置是C:\Program Files\Internet Explorer)
关于总弹出www.5xt.net的问题
出现这种问题,一般是在扫描报告中有一个下面的项目在起作用。处理方法是进入安全模式,修复下面的项目然后删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\MsInfo.Dll。
O27 - 文件执行挂钩 - ,,
CLSID:{B48F6409-4740-475B-A474-651F54CCE460}
相关文件:(隐藏)(系统)C:\Program Files\Common Files\Microsoft Shared\MSInfo\MsInfo.Dll
安全等级:未知
关于自动跳转到www.hk582.com/的问题
出现这种问题,一般是在扫描报告中有一个下面的项目在起作用。修复方法是进入安全模式,用开始菜单中的IE修复专家-高级修复修复下面的项目,然后删除C:\Program Files\Internet Explorer\HMAPI.dll。
O02 - 浏览器辅助对象(BHO) - IEHlprObj,,
CLSID:{EE7C3CF0-4B15-11D1-ABED-709549C10000}
相关文件:C:\Program Files\Internet Explorer\HMAPI.dll
安全等级:未知
关于开机主页被改为www.5533.com的问题
出现这种问题,原因在于扫描报告中有一个项目伪装为上网助手的程序,并在启动项中加载。修复方法是进入安全模式,用开始菜单中的IE修复专家-高级修复修复下面的项目,然后删除C:\WINDOWS\system32\helper.hta。
注:这个问题在新版的上网助手中已解决。
O04 - 自动运行项(Run) - 3721 上网助手,3721 上网助手,
相关文件:C:\WINDOWS\system32\helper.hta
内容:C:\WINDOWS\system32\helper.hta
安全等级:安全
关于空白页显示英文内容的问题
问题表现:正常出现这种情况,在扫描报告中安全等级为“未知”里面都有一个浏览器辅助对象(BHO)和二个网络协议过滤器内容是相同的。之所以不说出是什么内容,因为从各个帖子的情况看,程序名都不相同(如下面的例子),但有一个共同的特征就是这个程序都在系统文件夹里面。98是在C:\WINDOWS\SYSTEM\下面,2000是在C:\WINNT\SYSTEM32下面,XP是在C:\WINDOWS\SYSTEM32下面。
比如elva-lansing的情况是:
O02 - 浏览器辅助对象(BHO) - ,,
CLSID:{4D65DF69-5C19-11D9-9B57-00E08C4BCB6B}
相关文件:C:\WINDOWS\SYSTEM\ogbc.dll
安全等级:未知
O18 - 网络协议过滤器 - text/html,,
CLSID:{4D65DF68-5C19-11D9-9B57-00E0E3076EF0}
相关文件:C:\WINDOWS\SYSTEM\ogbc.dll
安全等级:未知
O18 - 网络协议过滤器 - text/plain,,
CLSID:{4D65DF68-5C19-11D9-9B57-00E0E3076EF0}
相关文件:C:\WINDOWS\SYSTEM\ogbc.dll
安全等级:未知
有的还有一个自启动项,如elva-lansing还有下面这个项目。
O04 - 自动运行项(Run) - tibs3,,
相关文件:C:\WINDOWS\SYSTEM\tibs3.exe
内容:C:\WINDOWS\SYSTEM\tibs3.exe
安全等级:未知
另外,有的还有下面的项目,也要一起修复。
O04 - 自动运行项(Run) - sp,,
相关文件:C:\Documents and Settings\xinfa\Local Settings\Temp\se.dll
内容:rundll32 C:\DOCUME~1\xinfa\LOCALS~1\Temp\se.dll,DllInstall
安全等级:未知
处理方法:进入安全模式(之所以要进入安全模式,是因为浏览器辅助对象是随系统启动的,而且不能通过停止进程来进行修复),点击开始-程序-上网助手-IE修复专家-高级修复中选中这些项目,然后点立即修复。修复后,请删除这些项目调用的程序。
关于空白页显示内容为英文的另一种情况
症 状:主页是空白页,但内容却是http://find-it-easy.org/这些网站的内容,网络使用正常,只是不定时忽然跳到这样的页面。如果排除出现上面提及的程序,可能是你安装了FlashGet广告版,请重新下载共享版的网际快车,并且注册它。
另外,如果你的网际快车没有注册,也会在启动网际快车后不定时弹出New offer for you!这种窗口,可以到http://zsbbs.3721.com/viewthread.php?tid=229307下载快车补丁或者是在网上搜索注册码进行注册。
关于http: // www .77ttt. com网站的问题
问题表现:出现这个问题,是在安全等级为“未知”的内容中有下面这个项目在起作用。这个项目有时是以别的名称出现的,但是ID号不变,名称也不变,只是程序名变了。
O02 - 浏览器辅助对象(BHO) - iebho,,
CLSID:{AE21A223-C4CA-43D7-9764-4FC6DF529F4D}
相关文件:C:\WINDOWS\system32\twain_16.dll
安全等级:未知
修复方法:进入安全模式,点击开始-程序-上网助手-IE修复专家-高级修复中选中这个项目,然后点立即修复。修复后,请删除项目调用的程序。
关于ttp://www.my990.com网站的问题
除了被增加了显示出这个网页的项目外,正常在安全等级为“未知”的项目中,会被添加一个浏览器辅助对象,内容如下,可以进入安全模式,用开始菜单中的IE修复专家-高级修复显示内容为这个网页的项目和这个浏览器辅助对象项目。修复后,请删除项目调用的程序。
O02 - 浏览器辅助对象(BHO) - ,,
CLSID:{B4BA88E2-18D2-4B24-87E4-DC4C030D756C}
相关文件:C:\WINDOWS\Downloaded Program Files\IEUBmy99.dll
安全等级:未知
关于www.qq46.com网站的问题
症 状:IE首页锁定为该网站,并且QQ自动发消息给别人。
原 因:有一个伪装为csrss.exe的系统进程在起作用,真正的系统进程在C:\WINDOWS\system32里面。在四个安全等级中均有可能被修改,而且修改的是多个项目。如:
F01 - Win.ini中的run项 - C:\WINDOWS\csrss.exe,DRAGON128,
相关文件:C:\WINDOWS\csrss.exe
内容:C:\WINDOWS\csrss.exe
安全等级:有风险
O04 - 系统自动run项(NT) - C:\WINDOWS\csrss.exe,DRAGON128,
相关文件:C:\WINDOWS\csrss.exe
内容:C:\WINDOWS\csrss.exe
安全等级:有风险
R00 - IE首页 - http://www.qq46.com,,
内容:http://www.qq46.com
安全等级:未知
O04 - 自动运行项(Run) - 子系统服务进程,DRAGON128,
相关文件:C:\WINDOWS\csrss.exe
内容:C:\WINDOWS\csrss.exe
安全等级:安全
修复方法:停止进程中的csrss.exe(估计有两个,其中一个为系统进程)或者是进入安全模式,修复内容有这个网站的项目和内容是C:\WINDOWS\csrss.exe的项目,然后删除C:\WINDOWS\下的csrss.exe程序。
关于在IE菜单栏增加了“网址”内容的问题
症 状:在IE菜单中增加了一个“网址(B)”的选项。
解决办法:方法一:运行regedit,删除注册表所有“ucx0.dll、c0.dll”项目,重启计算机。 然后删除C:\Program Files\LtUcx目录的所有文件。
方法二:在安全等级为“未知”的项目里面,会增加下面两个项目,进入安全模式,用开始菜单中的IE修复专家-高级修复修复这两个项目也可以解决。修复后,请删除LtUcx这个目录。
O02 - 浏览器辅助对象(BHO) - ltmenu,北京莲塘软件技术有限公司,
CLSID:{78C21EFD-53BA-406C-AF1A-33A38ABD3958}
相关文件:C:\Program Files\LtUcx\1002\c0.dll
安全等级:未知
18.O16 - 下载的ActiveX插件 - IMCv1 Control,北京莲塘软件技术有限公司 Liantang Software Tech. Inc. (http://www.lotuspond.com.cn),
CLSID:{6924091F-CD97-41E1-B1D4-D9079409D413}
相关文件:C:\Program Files\LtUcx\1003\c0.dll
网页路径:http://www.liaoba.com/talk.cab
安全等级:未知
关于主页被设置为http:// www .265. com/问题的说明
产生这个问题原因,在于你的机子安装了万能五笔的输入法。由于是免费版,软件自带了修改主页与选择安装百度搜霸等。
在使用过程中每次调用万能五笔,无论是外挂版,还是内置版,其均自动将IE主页地址改为http:// www.265.com。原因在于外挂版的wnwb.exe主文件和内置版的wnwb.ime文件里面都有一段修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main下的Start Page的命令。
你可以直接用MYIE或Maxthon,这样就不怕它改主页了;另外,开启“即时保护IE功能”与“屏蔽恶意代码”,每次万能五笔要改主页也都被屏蔽掉了。
关于http:// www .jixian. net/netbar.htm网站的问题
症 状:***的时候定时或者不定时弹出了这个网址的窗口。
出现这个问题,应该是你下载的RealPlayer播放器的问题,估计是被改过的版本,请到官方网站下载播放器。所以,下载Media Player请到微软下载,下载RealPlayer请到www.real.com。
几个值得注意的程序
1、这个组合是在安全等级为“未知”里面有三个程序,出现问题的现象不详。修复方法是进入安全模式用开始菜单中的IE修复专家-高级修复修复这三项。修复后,请删除这些项目调用的程序。
O02 - 浏览器辅助对象(BHO) - URLMonitor,Henbang,
CLSID:{3ED9FFDA-79DB-4B2D-99B7-16EA3C4A3A92}
相关文件:C:\WINDOWS\SYSTEM\hap.dll
安全等级:未知
O02 - 浏览器辅助对象(BHO) - DownloadValue,,
CLSID:{616D4040-5712-4F0F-BCF1-5C6420A99E14}
相关文件:C:\WINDOWS\SYSTEM\winhtp.dll
安全等级:未知
O04 - 自动运行项(Run) - winup.exe,,
相关文件:C:\windows\system32\winup.exe
内容:C:\windows\system32\winup.exe
安全等级:未知
2、下面这个项目的作用是实现在开机时修改主页等功能的,处理方法是用高级修复修复这一项,最好是到C盘下删除$NtUninstallQ5926809$这个目录,系统会提示是系统属性文件,要你确认删除,点是进行删除。
O04 - 自动运行项(Run) - 3721,,
相关文件:C:\$NtUninstallQ5926809$\3721.bat
内容:C:\$NtUninstallQ5926809$\3721.bat
安全等级:未知
关于使用一键修复后开机仍弹出网页的问题
发生这种情况在于旧版的上网助手2005在扫描中把下面这样的项目列为安全,不列入于一键修复范围。当时出现这种情况,估计是因为这个启动项调用了WINDOWS的一个程序作为启动程序,上网助手没有判断到打开这个文件所带的参数。据说新版的上网助手程序已经解决了这个问题。这个项目可以在高级修复中选中它后直接修复。
O04 - 自动运行项(Run) - IE浏览器(通常是恶意代码用来开启一个网站),,
相关文件:IEXPLORE.EXE http://(后面跟了一个网站的网址,各个的情况可能都不相同)
内容:IEXPLORE.EXE http:// (同上)
安全等级:安全
关于主页被设置为http:// www .ff51. com的问题
产生问题的原因在于下面的几个程序:
1.O04 - 自动运行项(Run) - 疑似木马病毒程序,DRAGON128,
相关文件:C:\WINNT\csrss.exe
内容:C:\WINNT\csrss.exe
安全等级:危险
7.R00 - IE首页 - http://www.ff51.com,,
内容:http://www.ff51.com
安全等级:未知
处理办法是进入安全模式,用开始菜单的IE修复专家-高级修复修复所有调用C:\WINNT\csrss.exe的项目和内容是http://www.ff51.com的项目,然后删除C:\WINNT\csrss.exe文件。
关于自动跳转到http://www.yan88.com/的问题
http://www.yan88.com/这个网站的跳转其实只是改动了HOSTS表,并没有在浏览器辅助对象和自启动项添加项目,所以,可以直接直接到http://zsbbs.3721.com/viewthread.php?tid=289114下面里面的小工具修复。
关于首页被修改为http://vs.6h.com.cn 的问题
这是因为你安装了拼音加加输入法后还未注册,未注册的拼音加加软件会把浏览器的首页修改为http://vs.6h.com.cn。这个可以用MYIE或Maxthon,这样就不怕它改主页了,也可以在IE的快捷方式中打开属性,在目标栏中的信息后加上空格nohome参数,例:“c:\Program Files\Interner Explorer\EXPLORER.exe”空格-nohome。
关于找不到服务器的时候就会自动跳转到www.wo365.com的问题
出现这种情况,在于安全等级为“未知”的项目里面被添加了如下的浏览器辅助对象,修复方法是进入安全模式,用开始菜单中的IE修复专家-高级修复修复这一项,然后删除C:\WINDOWS\system32\UrlCom101.dll这个文件。
O02 - 浏览器辅助对象(BHO) - ,,
CLSID:{7977DED7-B1D4-4C96-B1AC-40C162FD3A45}
相关文件:C:\WINDOWS\system32\UrlCom101.dll
安全等级:未知
关于首页被修改为www.lyin.com的问题
产生这个问题,在于机子启动时添加了一个伪装为smss.exe系统文件的恶意程序,它的位置位于C:\WINDOWS\,而正常系统程序的位置是C:\WINDOWS\SYSTEM32。修复方法是停止进程中的smss.exe进程(里面有两个的话,一个是正常的系统进程),最好是进入安全模式,用开始菜单中的IE修复专家-高级修复修复内容是下面两种情况的项目。注意,安全等级为“安全”里面的项目也有可能有这样的项目。然后删除C:\WINDOWS\smss.exe这个文件。
1.R00 - IE首页 - http://www.1yin.net,,
内容:http://www.1yin.net
安全等级:未知
O04 - 自动运行项(Run) - smss,,
相关文件:C:\WINDOWS\smss.exe
内容:C:\WINDOWS\smss.exe
安全等级:未知
关于host文件中的69.20.16.183重定向的问题
症 状:在HOSTS表中保留着69.20.16.183重定向的存在,而且通过修复HOSTS表,删除HOSTS文件无法解决,有时还有不明网址自己跳出来,而通过扫描报告没有发现问题。
建 议:原来在一个外文的帖子看到有成功地解决了这个问题的案例。它是通过DLLCompare程序发现几个不正常的程序,并且KillBox进行处理。具体请见http://www.lavasoftsupport.com/index.php?showtopic=54590。
近日在这个论坛上也看到了一个成功的例子,具体情况在http://zsbbs.3721.com/viewthread.php?tid=331394。
关于点击地址栏的三角符自动关闭IE的问题
导致出现这个问题,应该是你安装了太多的IE插件,它们之间产生了冲突带来的问题。建议在添加删除程序里面卸载一些IE插件,然后再打开IE看看。
关于不停打开IE窗口的问题
建议重新注册几个动态链接库,方法是:开始-运行依次输入以下命令,输完这些命令后重新启动windows,然后打开IE看看。
regsvr32 Shdocvw.dll
regsvr32 Shell32.dll
regsvr32 Oleaut32.dll
regsvr32 Actxprxy.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
注:这个方法还在试验中,请大家在有问题的帖子中修复后说明一下修复的效果。
关于屏蔽淘宝网的问题
淘宝网的广告总代理是www.unionsky.cn ,因此,使用MyIE或者Maxthon的用户可以在里面的“弹出窗口过滤”和“网页内容过滤”里面同时添加*unionsky* 。
对于IE用户,可以通过修改HOSTS表来实现屏蔽。方法是:
打开WINDOWS系统文件夹,依次找到 C:\WINDOWS\system32\drivers\etc\hosts 文件(98系统在 WINDOWS 目录下),用任意文本编辑器打开此文件,在最后一行添加下面的内容。
0.0.0.0 www.unionsky.cn#掏宝网广告代理
0.0.0.0 www.allyes.com#掏宝网广告代理
保存后,重启计算机即可。 (XP系统不用重新启动)
另:依此类推,这是一种屏蔽网站的方法,只要把HOSTS表添加内容中的0.0.0.0后面的网址换成你要屏蔽的网页,就可以实现对该网页的屏蔽了。
关于登录出现验证码出错的问题
登录时出现验证码出错的问题,一般的原因是一台机子登录网站多次后,IE的缓存文件中保存了过时的验证码信息,造成了按屏幕显示输入正确的验证码后,系统却反馈信息错误这一问题。
解决办法是点击IE“工具栏”→“internet选项”→点击“删除cookies”→然后再点击“清除历史记录”,然后重新打开该页面看看。
如上述操作还无法解决问题,请使用IP地址直接访问。
关于恢复一些工具条的问题
方法是在开始-运行输入要恢复内容后面的内容。
一搜工具条:rundll32.exe "C:\Program Files\yisou\yisoub.dll"
上网助手工具条:rundll32.exe "C:\Program Files\3721\assist\asbar.dll"
关于WINXP SP2中的Internet默认安全级别无法降低的问题
问题状况:WINXP SP2的IE选项-安全中的Interne安全设置只能是中级,如果调到低级就会弹出错误窗口。出现这种情况的原因是因为SP2这个补丁提高了系统的安全性,所以屏蔽了Interne安全设置中的低级安全设置。
解决方法:首先关闭IE设置选项,然后打开注册表编辑器,定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 将右边的MinLevel修改为10000 (16进制),然后就可以将Interne安全设置到低级。
关于IE需要长时间才能打开问题
可以尝试如下的步骤来解决:
A. 暂时卸载所有防毒和防火墙软件。
B. 清楚清除Internet临时文件:在“Internet选项”-“常规”中, 点“清除Cookies”,然后点“删除文件”, 选择“删除所有脱机内容”并按“确定”。再在里面的“设置”-“查看对象”中删除状态为“未知”或“损坏”的项。回到“常规”, 点“清除历史纪录”,然后点“确定”。
C. 删除临时文件夹中的文件:在“开始”-“运行”输入cmd然后回车,输入以下命令:
cd /d %temp%
del /s /f /q *
cd /d %tmp%
del /s /f /q *
然后尝试打开IE看看。
关于IE属性主页不能修改的问题
问题表现:在IE选项中填写主页的位置为灰色,不能输入内容。
解决办法:打开注册表,展开注册表到HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下,将“homepage”的键值由原来的“1”修改为“0”即可,或干脆将“Control Panel”删除。
关于取消IE自动缩图功能的问题
Internet Explorer 6 在浏览图片如大出萤幕,图片便会自动缩小,如需取消这功能可按下修改。
在开始-运行输入regedit,展开到HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,在右边窗口增加一个字串值Enable AutoImageResize,数值为NO。
关于浏览器无法打开的问题
IE浏览器双击没有动静,或者是提示“Explorer.EXE 遇到问题需要关闭,我们对此引起的不便表示抱歉”,常见的原因及解决方法归纳起来如下(越在前面的原因可能性越大):
1.病毒导致:使用最新的杀毒软件进行病毒清理。可以到http://zsbbs.3721.com/viewthread.php?tid=143360里面下载杀毒软件,升级病毒库后到安全模式下查杀。
2.最近安装的某些软件导致:特别要检查一下是否是新安装的插件引起的问题。插件与插件之间的冲突相当容易引起浏览器使用出现问题。其它,再寻找是否是应用程序的问题,可以在“控制面板”-“添加/删除程序”中卸载最近安装的软件试试。
3.IE 被破坏:可以先试用我签名下的工具软件里面第一页的ietools修复一下看看,这个程序有一个修复双击桌面IE没有反应的功能。
如果还有问题,建议升级IE或者是重装IE。升级IE请到
http://download.microsoft.com/do ... eXP/CN/ie6setup.exe(微软官方在线安装版)下载。
重装IE6.0:方法1:打开“注册表编辑器”,找到[HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}],将IsInstalled的DWORD值改为0就可以了。
方法2:放入Windows XP安装盘,在“开始→运行”窗口键入“rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %windir%\Inf\ie.inf”。
4.系统文件丢失或被破坏:使用SFC命令进行系统文件的检查和修复,将安装光盘插入光驱,单击“开始→运行”,输入“sfc /scannow”并回车,让系统自动检查和修复。
5.无法确定:彻底重新安装系统,而不是覆盖安装。
6.硬件问题:主要可能是内存、主板接触不良或不稳定。
我的一本电子书
我的一本计算机基础知识电子书。里面在网络IE篇附如何分析上网助手扫描报告。(在附件下载)
一个触目惊心的软件。
即使在IE 中执行了相关清理操作,index.dat文件中同样会保留着相关的网址信息。下面是一个通过读取index.dat文件中保留信息读取上网记录的小软件。
下载地址:http://www.sharewareriver.com/download.php?id=1195
☆IE修复例子、IE问题集锦及上网助手报告分析介绍☆
★ 没有修复成功怎么办?
☆ 恶意网站的更新换代很快,所以IE修复专家有时也不能很及时的解决您所遇到的问题,这时请到IE修复专家 导出一份扫描报告 贴到 助手论坛IE问题专区。
这里有一些热心的斑竹、网友、3721工作人员等会为您进行人工诊断。
如果您的扫描报告过长,可以只把报告中安全等级为“未知”的贴上来,如果仍贴不下,请分成多份,用回复的方式发在同一个主题里面。
★ 发帖时需要注意些什么?
☆ 发帖时请注意以下几点:
1.不要把自己的求助主贴跟在别人的贴子里,以免被忽略。
2.不要重复发帖,论坛资源有限,大虾们的时间和精力也有限,请珍惜。
3.不要把一份扫描报告的多个部分发在不同的贴子里,原因同2。
4.请把发帖框附近的 接收新回复邮件通知 打上钩,以便及时获得反馈。
小技巧:
要找自己的以前发过的贴子,请到论坛首页上方找到一个“我的话题”链接,点进去就是你发过的所有贴子列表。
★ 大虾告诉我了哪些项有危险,我该怎么修复呢?
☆ 首先建议您多听一些意见,因为大虾有时也难免会判断失误 :-) 然后按照下列步骤操作:
a.到IE修复专家2005的 高级修复 (http://assistant.3721.com/iefix10.htm) 页
b.逐个找到和大虾们所指出的项内容一样的条目,把它们前面的钩打上。
c.点“立即修复”按钮
d.这时你会进入一个“修复完毕”页,点一下“重启后修复”按钮
e.重新启动计算机
如果上述步骤还是不能解决你的问题,请
f.将计算机启动到安全模式下,方法如下
1.重新启动计算机
2.在启动的时候按住F8键
3.过一会儿会出现一个菜单
4.选择其中的“安全模式”或“safe mode”字样的菜单,如果出现多个,则选第一个。
5.回车后就会启动到安全模式
g.在开始菜单中启动上网助手
h.在上网助手的窗口中启动IE修复专家
i.到“一键修复”页进行一次“立即修复”
j.转到“高级修复”页
k.重复步骤a~c
如果还是不能解决,请发论坛消息给3721或traveller,或者打电话给3721的客户服务热线:010-65833721。
★ 修复后导致不能连接网络怎么办?
☆ 这是由于IE修复专家刚推出时的一个疏漏导致的,请下载修复工具的 EXE版 或 ZIP 版,然后拷贝到断网的计算机上进行修复即可。具体请参见 管理员的公告 http://zsbbs.3721.com/viewthread.php?tid=269667。
★ 强力修复后输入法、网络连接等图标消失了怎么办?
☆ 强力修复会有一定的副作用,在某些情况下会导致一些系统必备的启动图标消失, 请出现了此现象的朋友 单击此处 下载解决此问题的小工具。
★ 提示“内部错误:请到助手论坛求助”是怎么回事?
☆ 这是IE修复专家2005刚推出时的一个提示,是因为安装后没有重启计算机导致的。新版已经改正为“您尚未完成安装过程,请先重启计算机”。遇到这种问题,您只要重新启动计算机就可以了。
如果重启后还是没有解决,那么可能是因为上网助手被某些恶意程序破坏了,请发论坛消息给论坛管理员“3721”。
★ 提示“文件损坏……”是怎么回事?
☆ 这是因为IE修复专家2005的一些必要文件正在后台下载,尚未完成,只要稍等一会儿(取决于你的网速,通常在30秒~3分钟左右)应该就可以了。
★ 网页中的“一键修复”、“提交”等按钮变灰或网页不能全部显示怎么办?
☆ 从开始菜单中点“运行”,依次执行下列命令:
regsvr32 jscript.dll
regsvr32 vbscript.dll
★ IE中点击链接不能打开新窗口怎么办?
☆ 从开始菜单中点“运行”,依次执行下列命令:
regsvr32 Actxprxy.dll
regsvr32 Shdocvw.dll
regsvr32 Mshtml.dll
regsvr32 Urlmon.dll
regsvr32 Msjava.dll
regsvr32 Browseui.dll
regsvr32 Oleaut32.dll
regsvr32 Shell32.dll
★ 不能播放Flash怎么办(显示Flash的地方一片空白)?
☆ Win98/ME下请运行下列命令:
regsvr32 %windir%\system\Macromed\Flash\flash.ocx
regsvr32 %windir%\system\Macromed\Flash\swflash.ocx
2000/XP下请运行下列命令:
regsvr32 %windir%\system32\Macromed\Flash\flash.ocx
regsvr32 %windir%\system32\Macromed\Flash\swflash.ocx
如果还有问题,请到注册表中,把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}键删除(注意仔细核对,不要看错!)。
上面这三条问题的解决方案我已经写成了小程序,请大家到http://zsbbs.3721.com/viewthread.php?tid=288121&fpage=1下载
★ 我想升级为IE6,该到哪里下载?
☆ 请到这个地址下载(微软官方在线安装版) ——
http://download.microsoft.com/download/ie6sp1/finrel/6_sp1/W98NT42KMeXP/CN/ie6setup.exe
★ 我到哪里修改用户名和组织名?
☆ 我们保留了原有功能,请到http://assistant.3721.com/iefixold02.htm页。
★ 出现 " Microsoft internet Explorer 遇到问题,需要关闭”怎么办?
☆ 参见网友heiye的帖子:http://zsbbs.3721.com/viewthread.php?tid=256898&fpage=1
★ 看不见某些论坛的验证码怎么办?
☆ 这是sp2增强安全性导致的问题,请 单击此处 下载一个注册表文件并把它合并进注册表
由于拟在前面增加近期IE的主要问题,把如何分析扫描报告后移
如何分析上网助手的导出扫描报告
上网助手导出的扫描报告是我们分析一台机子被恶意网页修改的一个比较好的工具,但初步接触,难以从中分析到有用的信息,根据阶段来接触到的报告,让我们一起来看看它到底是对我们提供了些什么。
一、报告的构成
标题:菜鸟求救!
各位大虾:
感谢您关注我的这份报告,小菜鸟急需您的帮助!
本扫描/诊断报告由 上网助手IE修复专家 生成
操作系统: Windows XP
IE版本号: 6.0.2800.1106
上面是报告的开头,主要向我们提供操作系统的版本和微软IE浏览器版本。
*** 扫描项列表 ***
下列条目被IE修复专家判断为危险:
下列条目被IE修复专家判断为有风险:
下列条目被IE修复专家判断为未知:
下列条目被IE修复专家判断为安全:
上面是根据扫描出来的项目进行的四个安全等级的分类,分别是“危险”、“有风险”、“未知”、“安全”四个等级。使用上网助手的一键修复,它会自动修复安全等级为“危险”、“有风险”的项目,如果使用一键修复后仍未能解决问题,产生问题的原因应该出现在安全等级为“未知”和“安全”的里面,这里面的项目如果需要修复的话要到高级修复里面选中它进行修复。
几个常见的误判例子:把项目按照安全等级进行分类,是比较新的一种方式,也是比较容易出问题的一种情况,因此,一些项目出现误判是很正常的,产生误判的原因,一方面在于技术的不成熟,另一方面在于新软件、新程序的不断出现。几个较常见的误判如下:
1、KV2005程序的问题。我想,原因应该在于上网助手2005出台时还没有收集到KV2005的有关信息,而KV2005在添加LSP项目时,使用的程序名称与KV2004不同,而这个名称估计曾经有恶意程序用来伪装为KV2004的程序,所以判断为有风险的项目。
O10 - 网络信息过滤器(LSP) - C:\WINDOWS\System32\KvWspXp_1.dll,JiangMin Ltd.,
相关文件:C:\WINDOWS\system32\KvWspXp_1.dll
安全等级:危险
2、启动自动打开一个网页的问题。原因在于下面这个项目被误判为安全。我想产生这个问题的原因,在于这个启动项调用的是微软自带的浏览器,而上网助手没有判断到打开这个程序所带的参数,因此误判为安全。据说新版的上网助手程序已经解决了这个问题。这个项目可以在高级修复中选中它后直接修复。
O04 - 自动运行项(Run) - IE浏览器(通常是恶意代码用来开启一个网站),,
相关文件:(文件不存在)IEXPLORE.EXE http://(后面跟了一个网站的网址,各个的情况可能都不相同)
内容:IEXPLORE.EXE http:// (同上)
安全等级:安全
3、一些伪装为系统程序的恶意程序。比如产生IE首页锁定www.qq46.com网站,并且QQ自动发消息给别人的情况,在里面有一个如下的项目,这个项目伪装为csrss.exe的系统进程,而真正的系统进程在C:\WINDOWS\system32里面。
O04 - 自动运行项(Run) - 子系统服务进程,DRAGON128,
相关文件:C:\WINDOWS\csrss.exe
内容:C:\WINDOWS\csrss.exe
安全等级:安全
下面也是一个XP下伪装为“执行32位的DLL文件”的程序,XP下正确的位置是在C:\WINDOWS\system32下面。
O04 - 自动运行项(Run) - Windows执行DLL的程序,微软公司,
内容:C:\WINDOWS\rundll32.exe
安全等级:安全
4、一些正常的项目被误判为有风险。例如:
O25 - http缺省图标 - C:\WINDOWS\system32\url.dll,0,,
内容:C:\WINDOWS\system32\url.dll,0
安全等级:有风险
F02 - UserInit启动项(NT) - userinit.exe,,,
相关文件:userinit.exe,
内容:userinit.exe,
安全等级:有风险
二、报告内容的分析
1、关于编号。报告的各个项目,最开头都有一个编号,这个编号是按顺序递增的,从1开始排列,它的作用主要是让我们在看到一个项目出问题时,可以只记住它是第几个项目,而不用逐条记录下来,特别是对于在网上为朋友说明要修复的项目时,可以指出要修复的是第几项,而不用把要修复的项目一条一条粘贴到回复内容里。
注意:报告中的编号仅在报告中有效,在高级修复中,项目是不再编号,也不是按照报告的顺序进行排列,所以要修复报告的第几项,请先到报告中找出第几项是什么内容,然后在高级修复中找到这个内容选中它后进行修复。
2、关于项目组别。紧接在编号后的,是一个项目的组别,它们后面都有一个中文注释,下面列举经常见到的一些组别内容。
R00、R01、R02、R03– 注册表中的默认起始主页和默认搜索页的改变。
如果你认得后面的网址,知道它是安全的,甚至那就是你自己这样设置的,就可以不用修复。否则的话,请修复它。
O01 - 域名解析文件(HOSTS)。
HOSTS表是包含IP地址和Hostname(主机名)的映射关系,修改HOSTS表的作用是当输入后面的地址,系统就会调用前面这个IP地址映射从而登陆这个IP,而不是向已知的DNS服务器提出域名解析。
上网助手会把所有的HOSTS文件修改列入有风险的安全等级,但并不是所有的HOSTS表修改都是有风险的。由于Hosts的请求级别比DNS高,所以有的优化软件会通过对你经常使用或者是使用过的网址进行域名解析,然后自动将网址和IP一一对应地存放到HOSTS表中,使以后登陆这些网页无需进行域名解释,实现浏览加速。另一种情况是屏蔽作用,当一个网址的映射关系IP是0.0.0.0时,它会实现对这个网址的屏蔽,有的朋友就是通过这个方法实现以一些恶意网站或者是垃圾网站的屏蔽。所以,是否修复HOSTS表,这取决于里面的内容是怎样的内容。
O02 - 浏览器辅助对象(BHO) 。
由于很多浏览中的问题是系统被添加了浏览器辅助对象产生的,所以在分析报告中,应该把分析浏览器辅助对象作为一个重点,一方面,我们要熟悉正常的BHO,特别是熟悉被列在“未知”等级的正常的BHO,另一方面,对于一个陌生的BHO,我们要先看看它所在的位置,如果一个BHO项目,程序安装在系统文件夹里面,而且我们通过网络搜索找不到文件名或者是ID号,这样的项目建议修复它。一般对于一个添加到BHO的有问题的文件,我们不但要修复调用它的项目,而且最好是删除这个项目所调用的文件,也就是这个恶意文件。
由于浏览器辅助对象是随系统启动,而且我们不能通过停止进程来把它从内存中清除出来,因此,即使我们选择了修复它,也可能达不到预期的效果,并且我们就是修复后有效果,我们还是无法删除它的程序。所以,一般建议进入安全模式,从开始菜单中启用IE修复专家-高级修复进行修复。
常见的添加恶意程序到BHO的项目已在上面的帖子里面作了分析,内容也在不断增加中,大家可以参考。
O03 - IE第三方工具条。
IE第三方工具条,就是如下的项目。除了IE自带的一些工具条外,其它软件也会安装一些工具条。这些项目对于浏览器除了影响外观外,一般不会造成太大的问题,所以是否修复一些被添加的项目,取决于你是否要这么多的工具条。当然,也不能一概而论,对于一些在资料查询列表中找不到,其名称又似乎是随机的,而路径则在“APPLICATION DATA”下,一般是有问题的,建议修复。
O03 - IE第三方工具条 - 上网助手2005,3721,
CLSID:{BB936323-19FA-4521-BA29-ECA6A121BC78}
相关文件:C:\Program Files\3721\assist\asbar.dll
内容:上网助手
安全等级:安全
O04 - 自动运行项(Run)。
自启动项和浏览器辅助对象是分析报告中两大重点,而且自启动项对于恶意程序兴风作浪,比浏览器辅助对象有着更大的作用。
在这里特别要注意启动时加载的位于系统文件夹位置的文件,对于位于系统文件夹内的自启动的EXE程序,通过搜索如果不是系统的文件,而且经过分析不是驱动程序的文件,一般建议修复。因为一般应用程序不会安装到系统文件夹中去,而是安装在程序所在的文件夹中。
在这里面特别要小心的是一些近似系统文件名称的程序和一些与系统名称的程序一样的东西。近似系统文件名称的,比如用rund1l.exe伪装扪rundll.exe,用svch0st.exe伪装svchost.exe,这类程序看似途径正确,名称正确,有点瞒天过海的感觉。另外,有一些程序还会与系统名称一模一样,由于一个文件夹中的文件名都是唯一的,所以,伪装与系统文件名称一样的恶意程序,只能存放到别的文件夹中,比如svchost.exe、smss.exe这些程序,有的恶意网页把它们存放在windows目录下,而在XP中正确的位置是在windows\system32里面,如果是在windows目录下面的,一般都是木马或者是恶意程序伪装的。因此,对于一些系统的程序我们要记住原来的位置,认真分辨。XP后期把internat.exe输入法托盘区图标文件换成了ctfmon.exe文件,如果这两个文件同时存在于启动项中,internat.exe程序可能就是恶意网页为你安装的恶意程序。
另外,对于一些启动项启动的程序是在临时文件夹的,这一类的程序也建议进行修复,并且在修复后清理磁盘,把临时文件夹里面的内容清空。
有一些自启动项不是exe这种可执行程序,而是DLL这种动态链接库,通过rundll32.exe来调用,比如上网助手,它是+com模块,必须在启动时通过这种方式进行自注册才能使用。有一些恶意程序也是这样,因此,在辨认启动项时,建议对不了解的启动项都进行修复。
修复这一类的程序,一般可以通过在任务管理器中停止相应的进程,然后进行修复。如果停止进程操作起来不容易,或者是一些进程停止不了,建议进入安全模式,用开始菜单中的IE修复-高级修复进行修复,并在修复后找到这些程序,删除它们。
O05 - 禁止使用控制面板 - 控制面板中被屏蔽的一些IE选项。建议修复。不过,对于上网助手的005、006、007的判断,有时不知是否正确。
O06 - 禁止IE相关功能 - Internet选项被禁用。建议修复。
O06 - 禁止IE相关功能 - ,,
安全等级:有风险
O07 - 禁止使用注册表编辑器。建议修复。
O07 - 禁止使用注册表编辑器 - ,,
安全等级:有风险
O08 - IE右键菜单。除了IE本身的右键菜单之外,一些程序也能向其中添加项目,如下面的网际快车。一般这些内容也可以通过上网助手的恢复IE外观来清理,有一些无法清理的,应该是在BHO或者是启动项中还有问题,建议修复其它项目后再进行修复,或者是同时修复。
O08 - IE右键菜单 - 使用网际快车下载,,
相关文件:D:\tools\FlashGet\jc_link.htm
安全等级:安全
O09 - IE菜单项和工具栏按钮。除了IE本身的菜单项目及工具栏按钮之外,一些程序也能向其中添加项目,如下面的是上网助手程序添加的。这一类的东西是否修复,取决于你自己的需要。
O09 - IE工具栏按钮 - 手机短信,,
网页路径:http://sms.3721.com/ie/index.htm?pid=U_3721_assist
安全等级:安全
O10 - 网络信息过滤器(LSP)。网络信息过滤器就是一个DLL,Windows的所有网络通讯都会经过它,它可以阻止一些危险的连接,也能“看见”所有的网络传输数据。Windows设计这个东东本来是供网络防火墙使用的,所以杀毒软件通常都有这个。但是这个功能也常常被恶意程序所利用。有些恶意程序利用它来把你对一些网站的访问转到它那里,有些够狠的恶意程序甚至会通过这些截获你的邮件帐户和密码等。因此,对于这部分的内容也要认真分析,误修复它可能导致软件,特别是杀毒软件部分功能无法正常使用,比如无法在线升级。一般这样的项目后面都有一个说明,如果从这个说明或者是文件的路径中看到这个程序是你安装的程序带来的,请不要修复。另外,修复这样的项目,请在修复后再删除项目所调用的程序,如果直接删除程序,可能会导致你无法上网。
O10 - 网络信息过滤器(LSP) - C:\WINDOWS\SYSTEM\WinTcp.dll,,
相关文件:C:\WINDOWS\SYSTEM\WinTcp.dll
安全等级:未知
O11 - IE高级操作。下面是在IE选项-高级中添加的网络实名的项目。这些是否修复,取决于你的习惯。不过,对于一些恶意网页添加的东西,建议修复它。
O11 - IE高级操作 - !CNS (网络实名),,
安全等级:安全
O12 - IE插件扩展。IE早期的插件,这是古老的插件接口,目前已很少程序使用它了。
O13 - 对IE默认的URL前缀的修改。(等待补充)
O14 - Web原始设置IERESET.INF。IERESET.INF文件中的改变。如果这个项目里面网页路径是空白页或者是你所了解的网页,不建议修复它。如果是一个不明白的网页,建议修复这一项目。例如:
O14 - Web原始设置IERESET.INF - MS_START_PAGE_URL="about:blank",,
相关文件:C:\WINDOWS\inf\iereset.inf
网页路径:"about:blank"
内容:MS_START_PAGE_URL="about:blank"
安全等级:未知
O15 - 信任网站或者是受限站点。
一般上网助手会把信任网站判断为有风险,原因在于它享有了较低的安全级别。如果这个网站不是你添加的,请最好修复它。修复它只是把这个网站请出受信任的站点列表中。而相反,会把限制网站判断为安全,原因在于它要受到较严格的制约,这部分可以不用管它,除非你想登陆它。
O15 - 信任网站 - https://www.shou.com,,
网页路径:https://www.shou.com
安全等级:有风险
O15 - 限制网站 - http://www.1015600.com,,
网页路径:http://www.1015600.com
安全等级:安全
O16 - 下载的ActiveX插件。下面是看flash的插件,相信很多朋友都安装了。
O16 - 下载的ActiveX插件 - Flash播放器,Macromedia, Inc.,
CLSID:{D27CDB6E-AE6D-11CF-96B8-444553540000}
相关文件:C:\WINDOWS\system32\Macromed\Flash\Flash.ocx
网页路径:http://download.macromedia.com/p ... s/flash/swflash.cab
安全等级:安全
O17 - 本机网络设置 NameServer。对于这个项目,原来我提示如果这一内容不是你设置的,请修复它。原因在于这个项目有可能被恶意网站利用。但从阶段来的情况看,还没有发现这一问题,这一项目一般为网络服务商提供,如果贸然修复,可能导致无法上网。因此,一般不再建议修复这个项目。
O17 - 本机网络设置 NameServer - 192.168.0.1,100.1.1.5,,
内容:192.168.0.1,100.1.1.5
安全等级:未知
O18 - 网络协议过滤器。这一部分内容的判断可以参考BHO的判断。例如下面是空白页出现英文内容时有问题的一个项目。
O18 - 网络协议过滤器 - text/html,,
CLSID:{CCAD955D-EFA8-48FA-AE16-3F88D128A540}
相关文件:C:\WINDOWS\system32\liia.dll
安全等级:未知
O20 - 自启动项AppInit_DLLs。这个很少被正常程序使用,不过一些安全类软件,如木马克星会写它,请仔细鉴别。如果这个项目出现在安全等级为“危险”、“有风险”和“未知”里面,最好修复它。
O20 - 自启动项AppInit_DLLs - apihookdll.dll,,
相关文件:C:\WINDOWS\system32\apihookdll.dll
内容:apihookdll.dll
安全等级:有风险
O21 - 自启动项SSODL 。这个很少被正常程序使用,如果不是安全等级为“安全”的,最好是修复它。下面这个例子是安全的。
O21 - 自启动项SSODL - 管理托盘图标对象的程序,Microsoft Corporation,
CLSID:{35CEC8A3-2BE6-11D2-8773-92E220524153}
相关文件:C:\WINDOWS\system32\stobject.dll
内容:{35CEC8A3-2BE6-11D2-8773-92E220524153}
安全等级:安全
020、021这两部分的内容有004项的效果,这部分如果被判为安全的,一般没有问题,如果被判为有风险或者是未知,要特别注意。
O25 - htmlfile协议缺省启动程序。
如果把别的浏览器,比如TT、MYIE2等设置为默认浏览器,就会出现这个问题,它会把级别提高到有风险的位置,如果是你使用的浏览器,这些项目可以不要理它。下面是我使用Maxthon.exe的情况:
O25 - htmlfile协议缺省启动程序 - "D:\Program Files\Maxthon\Maxthon.exe" "%1",MY Soft Technology,
相关文件:D:\Program Files\Maxthon\Maxthon.exe "%1"
内容:"D:\Program Files\Maxthon\Maxthon.exe" "%1"
安全等级:有风险
O27 - 文件执行挂钩。分析的方法与分析BHO差不多。
O27 - 文件执行挂钩 - 网络实名,北京三七二一科技有限公司,
CLSID:{D157330A-9EF3-49F8-9A67-4141AC41ADD4}
相关文件:D:\WINDOWS\Downloaded Program Files\CnsHook.dll
安全等级:安全
O28 - IE阻止的Cookies(IE6) 。
这是IE6才增加的一个功能,这部分的内容是安全的这是阻止这部分网站的COOKIES。
O28 - IE阻止的Cookies(IE6) - ad08.focalink.com,,
安全等级:安全
O29 - .TXT文件关联。列举出有疑问的文件关联。这部分内容建议修复一下,就是误判,修复一下也没有问题。例如:
O29 - .TXT文件关联 - NOTEPAD.EXE,Microsoft Corporation,
相关文件:C:\WINDOWS\NOTEPAD.EXE "%1"
内容:C:\WINDOWS\NOTEPAD.EXE "%1"
安全等级:未知
O31 - 浏览栏区对象。如果位于安全等级为安全里面,一般没有问题。如果位于其它位置,请分析一下它的相关文件,根据文件的情况判断是否修复。
O31 - 浏览栏区对象 - 每日提示,Microsoft Corporation,
CLSID:{4D5C8C25-D075-11d0-B416-00C04FB90376}
相关文件:C:\WINDOWS\system32\shdocvw.dll
安全等级:安全
随机文章:
收藏到:Del.icio.us
评论