时常有人问起IE遭到了某英文恶意网页的劫持,如打开IE新窗口就自动连接到356563.net,或者自动连接到http://n * vd.us然后又转向http://searchpage.* */、主页被更改为国外一搜索引擎、IE主页设为“about:blank”空白页打开后却变成“Search for”网页,注册表中修复无效,使用不少IE修复软件都没有效果。最为猖獗的是“著名”的劫持浏览器的恶意网站家族CoolWebSearch,CoolWebSearch及其变种有百十种之多,而且不断涌现新的变种。大多数顽固的、难以清除的英文恶意网页都是出自CoolWebSearch家族。遭CoolWebSearch及其变种劫持的浏览器可能出现以下症状:

  1、IE主页/搜索页被设为一国外搜索引擎,如有的恶意网页含有"Search for";
  2、当输入无效网址或网站不能访问时,IE被重定向到国外恶意网页;
  3、IE主页设为“about:blank”空白页,打开却变成“Search for”网页;
  4、访问google时被重定向到该恶意网页;
  5、主页及搜索页设置无法修改,或修改后很快又被劫持;
  6、自动添加受信任站点;
  7、收藏夹里自动反复被添加成人网站;
  8、输入字符时IE速度严重减慢;
  9、Internet选项出现不能更改或隐藏的选项;
  10、手工修改注册表或使用通常的IE修复工具不能修复、修复后很快又被劫持或者电脑重启后IE又遭劫持。   
  
  我们可以在HijackThis的作者Merijn的网站上找到这些恶意网页的地址列表:http://www.merijn.org/cwschronicles.html
  如果你的IE不慎被国外恶意网页劫持了,可以去查查,看看是不是CoolWebSearch恶意网站家族的变种。本帖附录给出了最新的CoolWebSearch网址列表,你可以去查查。

  下面介绍中了这类国外恶意网页的清除方法:

  一、CoolWeb Shredder(CoolWeb粉碎机)

  中了CoolWebSearch恶意网站家族的变种,可以用CoolWeb粉碎机来清除,这是款完全免费的工具,而且可以在线升级,该工具是HijackThis的作者Merijn的另一个作品。不但彻底可以清除CoolWebSearch及其变种,对付其它恶意网页代码、小广告也很有效。最新的版本是2.0,可以查杀几百种恶意网页。虽然是英文界面,但使用非常简单。

  CoolWeb粉碎机下载:
 
   点击浏览该文件 (从这儿下载后需要解压)

  Merijn主页下载

  使用方法:

  1、下载后得到安装文件CWSInstall.exe,双击出现下图,点“I AGREE”,接受协议自动安装到C:\Program Files\InterMute\SpySubtract\下,并在桌面上建立快捷方式CWShredder。CoolWeb Shredder是个绿色软件,卸载时直接删除C:\Program Files\下的InterMute文件夹即可。
     
  
               图一

  2、安装完成后,CWShredder自动运行,出现下图,一共四个选项:Scan only(仅检查)、Check for update(检查更新)、Make Report(制作报告)、Fix->(修复)。
         
  
               图二

  3、由于CoolWebSearch不断产生变种,所以查杀前请先点击“Check for update”进行在线升级,如果没有新的更新,中间的按钮“Download and open the update”会置灰,如果有新的更新,则该按钮会激活,你可以按下它下载升级文件。CWShredder会关闭并自动更新。更新完毕,你需要重新双击启动CWShredder。
        
  
             图三(有更新)

        
  
            图四(正在下载更新)

  这是偶昨晚刚从Merijn主页下载的最新版本,所有没有新的更新。如下图:
        
  
            图五(没有新的更新)

  4、点击右下角的“Fix->”按钮进入修复界面。这时跳出个窗口提示你“现在请关掉浏览器口、文件夹窗口以及记事本等所有能关闭的程序窗口,以方便CWShredder修复”。如果有浏览器窗口打开着,则CoolWebSearch很难被清除掉。确认关闭了这些窗口后,点击“确定”,即可开始清除CoolWebSearch及其变种。如图:
        
  
                           图六

  5、如果发现CoolWebSearch或其变种,会提示清除。CWShredder工作结束后,显示“done!”。
        
  
             图七(正在检查)

        
  
             图八(修复完毕)

  6、点击Next,进入下一步。有一些要求访问网站和制作报告的建议,都是英文站点。我们点“Exit”退出。
        
  
               图九

  7、如果使用CoolWebSearch提示发现问题并修复,重新启动后却问题依旧。对于这种情况,建议进入安全模式,再次使用CWShredder修复,修复后清空IE临时文件,方法:internet选项→点击“internet 临时文件”下的“删除文件”→勾选“删除所有脱机内容”,点“确定”。清除完毕后建议给系统打全所有安全补丁。


  二、COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL专杀工具

  如果使用CWShredder时,一打开CWShredder,其窗口一闪就自动关闭,可能是遇到了一个通过阻挠反劫持软件的运行来阻止用户清除自己的CoolWebSearch变种。这时就要请该变种的专门清除工具COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL出马了。

      
  COOL-WWW-SEARCH SMARTKILLER MINIREMOVAL专杀工具下载: 
   点击浏览该文件  (需要解压)

  使用时请关闭所有IE和Windows的“资源管理器”窗口,然后再运行该工具,即可清除。


  三、HijackThis工具

  如果中了最新变种使用上述两个工具都无效,或者是中了非CoolWebSearch及其变种的恶意网页,那只有请出著名的HijackThis,该工具对于恶意网页代码尤其有效,对于查找系统内的木马/蠕虫也有很好的辅助作用!不但适用国外的恶意网页,也同样适用于国内的恶意网页。如果用寻常工具应付不了,建议使用该工具清除或辅助清除!!

           
  
                      图十

  偶和闻道长安版主都发过介绍HijackThis的帖子,这是个很热门的工具,各大论坛和瑞星主页都有它的介绍。该工具虽然功能强大,使用方便,但一来由于其检查日志需要仔细分析,可能有的会员嫌麻烦;二来其日志涉及Hosts文件、BHO(浏览器的辅助模块)、自启动项、注册表键值、IE插件、ActiveX对象、IERESET.INF文件等等名词,刚入门菜鸟会员可能会觉得头晕。

  不过,如果你不想永远是菜鸟的话,建议你学习使用HijackThis,因为读懂了HijackThis的Log日志文件,你就算半个大虾了!^_^如果你不想成为大虾,也建议你使用HijackThis,因为你可以用HijackThis检查后点“保存日志”,保存后Log日志文件会自动打开,然后将所有内容帖到论坛,让大虾们帮助你分析问题。有磁自启动项、进程、IE插件、ActiveX对象、注册表关键键值等等在这个日志中都有!不仅适应于IE修复,所有涉及自启动项、进程、IE插件、ActiveX对象等故障的问题都适用!这比你费神又费力的长篇大论一气还让大虾们丈二和尚摸不着头越听越糊涂,要明了得多!有效的多!!呵呵……
  好了,废话少说,言归正传。关于HijackThis,偶几个月以前就发过其下载及教程的帖子,就不重复发了,在这里只帖出其链接:
    HijackThis简明教程及汉化版下载: http://bbs.cfanclub.net/dispbbs.asp?boardID=2&ID=126265

  有一点请注意,使用HijackThis前,同样要关闭所有的其它程序窗口,包括资源管理器窗口!!

  强烈建议会员们学习使用HijackThis!!!