我现在不是要说如何将被篡改的主页改回来
　　而是
　　如何查杀篡改程序的运行，
　　我在上面说了 现在有防火墙顶着 所以每次篡改的时候我都点了阻止，才没被篡改
　　但是怎么杀也杀不出木马来，360等那些顽固木马查杀我已经试过了，
　　特此补充

近段时间出来个垃圾网站 www.qq5.com 《没中标的不要因为好奇上这个网址 搞不好点了你自己也中了= =！》

试过了很多有名的工具,像360安全修复.卡卡等,没有一个管用的,我把IE首页早改成空白页了但只要运行桌面的原始图标就打开这该死的网站,而快速起动中的图标则正常. 我中标的原因大概是因为下载的游戏里可能被加了，《使命召唤5 红色警戒3 极品飞车8 9 还有GTR》我不清楚是不是因为这几个游戏的事 总之我是中标了。而且这个垃圾网站相当麻烦 网上的许多方法不管用 现在说下怎么从注册表上搞定它。。。

最有效的：改注册表HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command就可以了，可以看到数据值"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.qq5.com 

把这个恶意网址删除,注意 可不要把整个字符串给删除掉了0.0

另外你在注册表中查找这个网址你可能什么也找不到,就算找到了也只是运行记录,删除掉也没用,所以请手工依次展开到这个位置就可以了,是有点麻烦,

IE首页的注册表文件是放在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的，而这个子键的键值就是IE首页的网址。它是可以修改的，用户可以改为自己常用的网址，或是改为“about:blank”，即空白页。这样，你重启IE就可以看到效果了。

如果这种方法也不能奏效，那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序，就算你通过修改注册表恢复了IE首页，但是你一重新启动电脑，这个程序就会自动运行再次篡改。

这时候，我们需要对注册表文件进行更多的修改，运行“regedit”，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，最后从IE选项中重新设置起始页就好了。

除了上面的情况外，有些IE被改了起始页后，即使设置了“使用默认页”仍然无效，这是因为IE起始页的默认页也被篡改啦。对于这种情况，我们同样可以通过修改注册表来解决，运行“regedit”展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL子键，然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了，或者设置为IE的默认值。


我把这几项注册表项全部都修改了 现在机器算是好了    如果你按照以上方法全部试过还不管用，那只要建议你用其他浏览器 如 360 火狐 等    然后屏蔽这个网站 禁止打开。。。或者用必杀技----重装= =！

祝你搞定它！！！



如转载请注明：转载自『网络生活网』 http://www.wlshw.com/

我在天涯论坛上发了篇求救帖
然后有一个人给我的回复如下

============================================
3wareSrv服务是个病毒 干掉它 应该属于你系统安装盘理集成的木马
　　DELL CERC SATA 1.5/6ch RAID Miniport Driver不需要 应该是你系统安装盘里胡乱集成的RAID驱动 不需要
　　
　　你用hijackthis扫描个日志文件贴出来 我习惯看那个
　　
　　至于你的IE的问题 可以试试黄山IE修复软件
　　
　　


作者：paikemm　回复日期：2009-04-28　22:45:40　 
　　[rr172x / rr172x][Stopped/Boot Start]
　　 <\SystemRoot\system32\DRIVERS\rr172x.sys><HighPoint Technologies, Inc.>
　　[rr174x / rr174x][Stopped/Boot Start]
　　 <\SystemRoot\system32\DRIVERS\rr174x.sys><HighPoint Technologies, Inc.>
　　[rr2340 / rr2340][Stopped/Boot Start]
　　 <\SystemRoot\system32\DRIVERS\rr2340.sys><HighPoint Technologies, Inc.>
　　[rsfwdrv / rsfwdrv][Running/System Start]
　　
　　这三个驱动都是病毒 瑞星视而不见
　　
　　楼主的个案再次证明我的观点：
　　
　　国内杀毒软件市场占用率第一的是瑞星
　　世界中毒机器排第一的是中国


作者：paikemm　回复日期：2009-04-28　22:47:21　 
　　hptmv6.sys 这项也是病毒

==========================================
请问他说的是正确的么？

要是对的话具体操作应该怎么做

改注册表HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command就可以了，可以看到数据值"C:\Program Files\Internet Explorer\IEXPLORE.EXE"

着是正常的


运行“regedit”，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\Program Files\registry.exe，
没有这个东西


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
这个也是正常的

难道没人能帮我么？

超级兔子修复IE完了看情况