endurer　原创 2005.10.27第一版

　　*endurer注：为了安全起见，下文中的“http://”均用“hxxp://”代替。

　　刚才一位同事的电脑中的浏览器被恶意网站劫持了，请我帮忙处理。

　　同事的电脑使用的是：Windows ME (Win9x 4.90.3000)　+ IE 6.00 SP1 (6.00.2800.1106)。

　　症状：

　　1、开机后会自动打开一个网页，如下图：

　　虽然地址栏显示的是hxxp://www.54kk.com，但网页内容却是baidu的东东。而且输入关键字，会显示出baidu的搜索结果。

　　2、IE首页被改为hxxp://www.54kk.com，并且无法修改.

　　3、IE标题栏被加上后缀www.54kk.com。

　　修复：

　　1、用HijackThis扫描（你可以到　hxxp://endurer.ys168.com　的　/tools/系统分析和修复　文件夹中下载HijackThis），发现并修复如下项目：

---

O4 - HKLM/../Run: [cnyisou_com] hxxp://www.54kk.com

O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present

---

　　2、下载并使用瑞星注册表修复工具修复IE标题栏。瑞星注册表修复工具 下载链接。

　　当然，我们也可以到注册表里手动修复，但还是用工具修复来得快和安全罢？

　　３、为了保险起见，清空IE临时文件夹。具体操作可参考：【系统修复系列之】如何 清空IE临时文件夹

　　疑问：

　　baidu与www.54kk.com是什么关系呢？

　　先检查了www.54kk.com对应的IP地址为：202.108.250.218；

　　再查找IP地址202.108.250.218的用户，正是　北京市 Baidu百度公司

　　这个结果实在令人........

　　现在的悬念是：baidu何时开始使用202.108.250.218这个IP地址的呢？